faq обучение настройка
Текущее время: Пт мар 22, 2019 22:23

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 7 ] 
Автор Сообщение
СообщениеДобавлено: Пн май 01, 2017 12:38 
Не в сети

Зарегистрирован: Чт май 11, 2006 15:10
Сообщений: 210
Откуда: Msk
Доброго дня, после поднятия l2tp over ipsec появилось достаточно много товарищей желающих на него попасть, даже мне кажется кто то успел (не спрашивайте как и почему) в связи с этим встал вопрос, чем и как заменить L2TP Before Rules?

Цель: разрешить только определенные подсети, ограничить время и т.д. короче полный контроль.

Кто что посоветует?

_________________
DFL-860E 11.10.01.06-31274 (WW)
DFL-210 2.27.03.25-14787 (WW)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн май 01, 2017 14:25 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8406
Откуда: Москва
Использовать SSL-VPN

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн май 01, 2017 14:27 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7131
Откуда: Екатеринбург
Можно отключить L2TP Before Rules и правила для сервера создать вручную, разрешив только нужные адреса и задав расписание, если нужно.

а можно в настройках сервера разрешить доступ не от всех сетей (all-nets), а от группы разрешенных.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн май 01, 2017 14:38 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8406
Откуда: Москва
YuriAM писал(а):
Можно отключить L2TP Before Rules и правила для сервера создать вручную, разрешив только нужные адреса и задав расписание, если нужно...
Добавлю.
В правилах указывать разрешения клиентам ходить только до определенных хостов и только по определенным сервисам. Ну, да, и в определенное время.
Каждому клиенту прописывать свой адрес при подключении, чтобы была гибкость в закручивании гаек.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн май 01, 2017 17:22 
Не в сети

Зарегистрирован: Чт май 11, 2006 15:10
Сообщений: 210
Откуда: Msk
MTRX писал(а):
Использовать SSL-VPN

Пока не вариант =(

YuriAM писал(а):
Можно отключить L2TP Before Rules и правила для сервера создать вручную

А какие, если можно, я уже и так вертел и по другому, соединение создается а дальше тишина =(

YuriAM писал(а):
а можно в настройках сервера разрешить доступ не от всех сетей (all-nets), а от группы разрешенных.

А в данном случае L2TP Before Rules будут играть роль?

ЗЫ посмотрел сейчас настройки, так и не могу понять где именно это можно сделать =(

MTRX писал(а):
Добавлю.
В правилах указывать разрешения клиентам ходить только до определенных хостов и только по определенным сервисам. Ну, да, и в определенное время.
Каждому клиенту прописывать свой адрес при подключении, чтобы была гибкость в закручивании гаек.

Это само собой, будет но чуть позже, пока требуется изоляция и интернет.

_________________
DFL-860E 11.10.01.06-31274 (WW)
DFL-210 2.27.03.25-14787 (WW)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт май 02, 2017 08:29 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7131
Откуда: Екатеринбург
RTFM77 писал(а):
YuriAM писал(а):
а можно в настройках сервера разрешить доступ не от всех сетей (all-nets), а от группы разрешенных.
А в данном случае L2TP Before Rules будут играть роль?
нет

RTFM77 писал(а):
ЗЫ посмотрел сейчас настройки, так и не могу понять где именно это можно сделать =(
в User Authentication Rules в правиле для сервера поле Originator IP:

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт май 02, 2017 08:56 
Не в сети

Зарегистрирован: Чт май 11, 2006 15:10
Сообщений: 210
Откуда: Msk
YuriAM писал(а):
в User Authentication Rules в правиле для сервера поле Originator IP:

Благодарю. Получилось.

ЗЫ Боюсь пива не хватит с Вами расплатиться ;)

_________________
DFL-860E 11.10.01.06-31274 (WW)
DFL-210 2.27.03.25-14787 (WW)


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 7 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Bing [Bot] и гости: 35


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB