Всем привет! Можно ли как-то ограничить коннект к л2тп определенному пользователю только с указанного адреса, или диапазона адресов? При этом важно, чтобы остальные пользователи коннектились откуда угодно, ибо динамика.
Если бы у всех была статика, то задача была бы тривиальна - в правиле файера для портов l2tp/ipsec добавить условие address list.
В свойствах динамического интерфейса есть поле Caller ID, может, можно как-то при поднятии интерфейса скриптом проверять его, и, в случае, если оно не нужное нам, отрубать коннект?
И еще, можно ли как-то пушить маршруты клиентам? В случае с опенвпн на линуксе проблемы нет, а вот как это сделать на микроте для л2тп - перерыл вики, и не нашел. Может, как-то скриптами на ап интерфейса (в скриптописании я не очень)? В PPP - secrets есть routes, но вики говорит, что это маршруты для поднятия их на самом микроте при коннекте клиента, то есть указать сеть за клиентом.
Пара вопросов про l2tp
-
svetogor82
- Сообщения: 165
- Зарегистрирован: 17 апр 2014, 10:44
-
svetogor82
- Сообщения: 165
- Зарегистрирован: 17 апр 2014, 10:44
по поводу ограничения надо по пробывать сделать через профиль
заводите на пользователя которому надо доступ ограничить отдельный профиль и в скрипте проверяете соответствие адреса
заводите на пользователя которому надо доступ ограничить отдельный профиль и в скрипте проверяете соответствие адреса
-
svetogor82
- Сообщения: 165
- Зарегистрирован: 17 апр 2014, 10:44
можно еще по пробовать по играться с фильтрами outgoing-filter и incoming-filter в профиле
-
ppsascha
- Сообщения: 24
- Зарегистрирован: 15 фев 2021, 08:23
Вот про них надо почитать.svetogor82 писал(а): ↑03 фев 2022, 09:17 можно еще по пробовать по играться с фильтрами outgoing-filter и incoming-filter в профиле
К сожалению, писать скрипты с нуля я не умею :(