На базе двух DIR-140L посредством поднятого на них VPN-канала налажен обмен информацией между локальными сетями двух филиалов организации.
При этом в каждом из филиалов имеется свой выход пользователей сетей в Интернет через имеющееся шлюзовое оборудование. DIR-140L установлены как дополнительные устройства только под задачи VPN-канала.

Собственно вопрос, нужно запретить возможность бесконтрольного доступа особо ушлых пользователей к сети Интернет, если они вздумают прописать себе на рабочем месте по умолчанию локальный IP-адрес DIR-140L в качестве шлюза по умолчанию и ДНС.
Как средствами самого DIR-140L проще и правильнее этого добиться?

Спасибо.

ни как

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Я не знаток DIR.

Но можно попробовать настроить DIR без основного маршрута, с маршрутом только к точке приземления туннеля. Если сработает, это самый радикальный и простой вариант.

Или указать основной маршрут через фиктивный шлюз, а маршрут для белого адреса точки приземления туннеля - через верный шлюз. Мне кажется, это должно получиться.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Вряд ли, без указания шлюза в настройках WAN-интерфейса настройки не применить.

Если в настройках WAN-интерфейса задать левый шлюз, то вряд ли вообще все заведется, хотя я не пробовал, конечно.
Под маршрутом для тоннеля в настройках IPSEC setting вы имеете в виду параметр Site to Site, где задается внешний IP роутера другой стороны тоннеля?

Попробую все будучи рядом с оборудованием, чтобы дистанционно не отрубить самого себя.
Еще думается можно попробовать задать левые DNS на WAN-интерфейсе, ведь для VPN он не требуется вроде ж. Тогда хоть частично появятся преграды для доступа в инет через роутер, если не оставить на компе адрес DNS основного Интернет-оборудования, конечно.

Указание левых DNS серверов на рутере, сами понимаете, слабая преграда. Всегда могут указать публичные.

Настройки IPsec вообще трогать не надо. Только в статических маршрутах рутера добавить верный маршрут до белого адреса удаленного офиса. Маршрут до одного IP адреса - адреса офиса, с которым построен IPsec туннель.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Т.е. попробовать на WAN-интерфейсе задать липовый шлюз, а в ADVANCED - ROUTING в свою очередь прописать верный шлюз провайдера до белого адреса удаленного роутера на противоположной стороне? А какую метрику задать?

Всё верно. А метрика не важна.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Не удалось, связь по VPN тоже пропадает в случае установки левого адреса шлюза на WAN и прописки статического маршрута до белого адреса второго роутера на дальней стороне.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

1. Я указываю IP провайдера, который является для моего подключения в точке А правильным шлюзом. В ADVANCED - ROUTING я прописываю запрашиваемые там Destination IP и Netmask - белый IP адрес и маску точки Б маршрутизатора и указываю в Gateway мой здешний в точке А IP шлюза провайдера, являющийся для меня отсюда шлюзом. Т.е. указываю статический маршрут до удаленного единичного IP точки Б.

2. Правильный IP шлюза в нормальных условиях конечно пингуется.

3. Не пробовал. Но "интернет" и удаленная сеть с той стороны перестают пинговаться.

Я всё равно думаю, что предложенный мной вариант должен работать. Разбираться с DIR-140L ради этой темы я, конечно, не стану.

Можете для начала на тех настройках рутера, которые вы использовали обычно, сделать следующее:
- выбрать любой тестовый адрес в инете, который пингуется
- прописать в настройках рутера до него маршрут с верным шлюзом и убедиться, что пинг до тестового адреса идет
- изменить в настроенном доп. маршруте шлюз на фиктивный и убедиться, что тестовый адрес перестал пинговаться.

так вы проверите, что прописываете доп. маршрут верно.

Как альтернативный вариант можно поискать в настройках рутера можно ли устанавливать запрещающие правила на доступ на определенные подсети и запретить, по возможности, всё, кроме удаленного офиса.

В целом, направление моей мысли вы, видимо, уловили. Я уверен, что так или иначе это достижимо.

А можно вообще переслать ваш вопрос тех поддержке Д-Линка или позвонить им. Здесь вы их ответа скорее всего не дождетесь.

Или же приватным сообщением сотруднику Д-Линка попросить его отписаться в вашей теме по этому вопросу в целом. И по реализуемости моего варианта на вашем оборудовании, в частности.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Да, мысль мне понятна, буду экспериментировать!

Че-то вы куда-то уж глубоко пошли
Все проще.
В файрволе делаете два правила:
Первое разрешает ходить с диапазона адресов локальной сети на диапазон адресов удаленного офиса.
Второе запрещает ходить с диапазона адресов локальной сети на все остальное (т.е. Dest Интерфейс WAN - диапазон ip - пусто, диапазон портов - пусто).
Правила должны стоять именно в таком порядке.

Пример:
В данном случае 192.168.20.0/24 это локальная сеть,
192.168.3.0/24 и 192.168.8.0/24 адреса удаленных офисов с которыми поднят IPSec.