Добрый день!

Подскажите, пожалуйста как проще всего и как правильнее разграничить доступ с ресурсам LAN для VPN пользователей.
Ситуация следующая - есть небольшая подсетка, на входе DFL-210 - поднят VPN Server.

Хотелось бы, чтобы одна группа пользователей при подключении через VPN могла видеть ВСЕ внутренние ресурсы (собственно так сейчас и работает).

А вторая группа пользователей - в количестве примерно 5 человек - могла видеть только определенные виртуалки c фиксированными IP.

Была мысль для второй группы пользователей определить отдельную Local User Database и поднять второй VPN сервер со своим пулом, настроить правила доступа из
этого второго пула только к разрешенным виртуальным машинам. Но это не прокатило, т.к. недопустимо двум vpn-интерфейсам иметь одинаковый IP.

Может как-то можно ограничить пользователей по их IP? Привязать IP к логину. Как в таком случае правильно настраивать IP rules?

Мне кажется вы сами ответили на свой вопрос

Имея две группы IP адресов клиентов вы создаете две группы IP правил (Source network), в одной из которой доступно все, другой только определенные ресурсы.

_________________
DFL-260E (2.30.01.06), DAP-1360 (2.10EN), DWA-140 (1.30), DIR-300 (1.05)