Filtrowanie ruchu VPN Host-LAN
Główne założenia przykładu:
– klient VPN otrzymuje IP 192.168.1.100
– klient VPN ma dostÄ™p tylko do 192.168.1.10 w podsieci 192.168.1.X
VPN
Zapoznaj się z przykładami VPN Host-LAN
Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
W profilu klient VPN wymuÅ› przypisywanie statycznego IP.
Przejdź do zakładki VPN and Remote Access>> Connection Management, aby sprawdzić status połączenia VPN.
Obiekty
Przejdź do zakładki Object Setting >> IP Object.
Utwórz obiekty IP.
Obiekt IP podsieci 192.168.1.0/24.
Obiekt IP urzÄ…dzenia 192.168.1.10.
Obiekt IP klienta VPN 192.168.1.100.
Reguły Firewall
Przejdź do zakładki Firewall >> General Setup.
Upewnij się, że filtr danych Data Filter jest włączony i rozpocznie on pracę od zestawu startowego 1 (Set#1).
W starszych routerach / w starszych wersjach firmware domyślnym zestawem startowym filtru danych jest zestaw 2 (Set#2).
Przejdź do zakładki Firewall >> Filter Setup.
Kliknij indeks 1, aby przejść do ustawień domyślnego zestawu filtru danych.
W starszych routerach / w starszych wersjach firmware domyślny filtr danych jest w zestawie 2.
Kliknij indeks 2 oraz 3, aby utworzyć reguły.
Zestaw 1 Reguła 2
– Zaznacz Enable.
– Wpisz nazwÄ™ reguÅ‚y.
– Jako kierunek wybierz LAN/DMZ/RT/VPN->LAN/DMZ/RT/VPN, aby reguÅ‚a dotyczyÅ‚a ruchu z VPN do LAN.
– W polu Source IP kliknij przycisk Edit, aby w nowym oknie wskazać źródÅ‚owy adres IP klienta VPN 192.168.1.100.
Jeśli chcesz dodać więcej urządzeń to przejdź do zakładki Object Setting >> IP Group i stwórz grupę obiektów IP.
– W polu Destination IP kliknij przycisk Edit, aby w nowym oknie wskazać docelowy adres IP urzÄ…dzenia 192.168.1.10.
Jeśli chcesz dodać więcej urządzeń to przejdź do zakładki Object Setting >> IP Group i stwórz grupę obiektów IP.
– W polu Service Type pozostaw Any, aby reguÅ‚a dotyczyÅ‚a dowolnej usÅ‚ugi.
Jeśli chcesz zezwolić na dostęp tylko do wybranych usług to wybierz obiekt Service Type, który należy wcześniej zdefiniować w Object Setting >> Service Type Object.
– Wybierz akcjÄ™ Pass Immediately, aby Vigor przepuszczaÅ‚ ruch od klienta VPN do urzÄ…dzenia 192.168.1.10.
Zestaw 1 Reguła 3
– Zaznacz Enable.
– Wpisz nazwÄ™ reguÅ‚y.
– Jako kierunek wybierz LAN/DMZ/RT/VPN->LAN/DMZ/RT/VPN, aby reguÅ‚a dotyczyÅ‚a ruchu z VPN do LAN.
– W polu Source IP kliknij przycisk Edit, aby w nowym oknie wskazać źródÅ‚owy adres IP klienta VPN 192.168.1.100.
– W polu Destination IP kliknij przycisk Edit, aby w nowym oknie wskazać docelowy adres IP podsieci 192.168.1.0/24.
– W polu Service Type pozostaw Any, aby reguÅ‚a dotyczyÅ‚a dowolnej usÅ‚ugi.
– Wybierz akcjÄ™ Block Immediately, aby Vigor blokowaÅ‚ pozostaÅ‚y ruch od klienta VPN do podsieci 192.168.1.X.
