Требуется: есть VPN пользователь (среди многих) и ему надо дать доступ только к определенным компам внутри сети. Понятно, что если определенному пользователю присваивать строго определенный IP, то решить задачу при помощи файрволла предельно просто. Только не понятно, как это сделать. Для VPN сервера задается пул IP адресов из которых сервер может выдать любой. А можно ли так сделать, что бы выдавался какой то конкретный IP? Ну или какой другой способ есть для решения проблемы?

а у меня тоже то ни как ни ккак то как ....
телепаты в отпуске . на чем хоть строите ?
понимаю что кажется про DFL - решается элементарно - как вы и написали в свойствах клиента приколотите ему IP адресс и сделайте соответсвующие правила

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Ну простите. Просто заработался Сам про телепатов многим люблю писать.
Да. Конечно о DFL речь идет. Не совсем понял где приколотить адрес. В свойствах виндового клиента? Так это ж тогда сам клиент сможет его с легкостью поменять. А мне надо, что бы не мог.

вот например как на картинке - и клиент всегда получает один и тот же адресс

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Да. Я уже разобрался! Просто в инструкции про этот параметр как то криво написано, я подумал, что там речь идет об том, что такой внешний ИП должен быть у клиента. Т.е. что бы дать возможность клиенту подключаться только с одного места в интернете.

А как кстати, такую фичу реализовать?

надо подумать , можно указать в правилах в качестве remote Net список всех IP с которых можно подключатся . но я тумаю тогда на клиента надо будет правил кучу заводить - но покопать в этом направлении стоит .

я посмотрел -
наверное можно создать интерфейс и к нему привязать IP и потмо этот интерфейс использовать в правилах .
если это 1 -5 клиентов то может и прокатить еслиих десятки - то думаю сложней будет

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Володь, немного поправлю: я обычно создаю группу TrustedGrp в которую включаю необходимые IPшники.
И эту группу уже использую в правилах.
viewtopic.php?p=814512#p814512

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

спасибо !
ну я так на вскидку глянул что можно подумать над этим вопросом и родными средствами решить этот вопрос

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

А вообще я недавно именно такую задачу и делал:

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Как и было указано ранее, учим VPN-сервер раздавать юзверям строго определенные IPшники.


Далее их собираем в группу VPNUsers
Кроме этого, есть группа ForVPNUsers с локальными хостами, куда юзвери могут стучаться.


Потом в правилах все это и прописываем:
Есть привилегированный пользователь VPNMaster который может лазить по всей сетке lannet
Остальные ВПНюзвери могут работать только с хостами, указанными в группе ForVPNUsers

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Добавлю чутка

Можно раздавать IP адреса даже не из пула VPN - все будет отлично работать, в т.ч. если выдавать белые IP определенным клиентам (не забыть включить ARP proxy)

Заданный определенному клиенту IP поменять руками нельзя - соединение не установится

Лимитировать определенного пользователя по адресам источника (откуда) подключения нельзя, но можно сделать это на уровне всего VPN сервера - через user auth rule (параметр originator address)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc