[RISOLTO] Bloccare traffico intenet a client vpn

[dax]

Ciao a tutti, sulla mia rb3011 ho attivato un server vpn pptp al quale il client si deve collegare e raggiungere solo determinati ip.

Codice: Seleziona tutto

interface pptp-server server set enabled=yes authentication=chap,mschap1,mschap2,pap keepalive-timeout=120
/ ppp secret add profile=default-encryption name=test password=abcd local-address=172.79.79.79 remote-address=172.79.79.3
/ ip firewall filter add action=accept chain=forward dst-address=192.168.1.41 src-address=172.79.79.3
/ ip firewall filter add action=accept chain=forward dst-address=192.168.1.45 src-address=172.79.79.3
/ ip firewall filter add action=drop chain=forward dst-address=192.168.1.0/24 src-address=172.79.79.3
/ ip firewall nat add action=masquerade chain=srcnat src-address=172.79.79.3


Il problema è che oltre a pingare quei due ip riesce anche a pingare 192.168.1.2 (che guarda caso è l' ip della rb) ed a navigare in internet.
Come potrei fare per aggiungere il blocco della navigazione e dell' ip della rb?
Grazie

[abbio90]

Scusa per capire...ma il client vpn che scopo ha?

[dax]

Scusa per capire...ma il client vpn che scopo ha?

Ciao, il client vpn ha lo scopo di collegarsi alla mia rete e raggiungere solo le macchine di sua proprietà. Non deve raggiungere apparati di proprietà altrui: e fin qui ci sono, il problema è che non riesco a bloccare i pacchetti verso la rb stessa e la navigazione internet.
Spero di essere riuscito a spiegarmi.

[dax]

Aggiungo un ulteriore dettaglio: la rb 3011 ha ip 192.168.1.2 e fa da gateway per tutta la rete utilizzando una connessione eolo

Codice: Seleziona tutto

/ interface pppoe-client add name=Eolo interface=eth1 user=user password=passwd add-default-route=yes default-route-distance=1
/ interface pppoe-client enable Eolo
/ ip dns set servers=8.8.8.8,8.8.4.4
/ ip firewall nat add chain=srcnat out-interface=Eolo action=masquerade disabled=no

[dax]

Non so se sia una soluzione elegante comunque il blocco della navigazione internet funziona

Codice: Seleziona tutto

ip firewall filter add action=drop chain=forward src-address=172.79.79.3 out-interface=Eolo

Adesso vorrei riuscire anche a bloccare le richieste verso l' ip della rb. Ho provato cosi ma non funziona

Codice: Seleziona tutto

ip firewall filter add action=drop chain=forward dst-address=192.168.64.2 src-address=172.79.79.3

[ppraz]

Devi cambiare la "chain" non è forward ma essendo la RB è "input"

[abbio90]

concordo con ppraz...
Inoltre eviterei di usare pptp....molto vulnerabile....
meglio optare per l2tp+ipsec o openvpn

[dax]

Devi cambiare la "chain" non è forward ma essendo la RB è "input"

Confermo, cosi funziona

Codice: Seleziona tutto

ip firewall filter add action=drop chain=input dst-address=192.168.1.2 src-address=172.79.79.3

concordo con ppraz...
Inoltre eviterei di usare pptp....molto vulnerabile....
meglio optare per l2tp+ipsec o openvpn

Si, grazie del consiglio ne sono perfettamente a conoscenza.
Per quanto mi riguarda si può considerare risolto questo thread. Grazie a tutti.