Добрый день.
Есть следующий конфиг.
У хостера куплен VDS, на нем на esxi поднят mikrotik CHR, пользователи подключаются по vpn и работают уже непосредственно с виртуалками на esxi (одна из них - контроллер домена). На самом микротике поднято 2 интерфейса, wan и lan.
Возникла потребность разграничить права таким образом, чтобы пользователи при подключении видели только свою виртуалку и контроллер домена (предположим, даже если запустят какой-нибудь сканер сети на одной из виртуалок).
Пока единственное что пришло в голову - каждому пользователю назначать айпишник из индивидуальной подсети и на микротике прописывать несколько шлюзов, но на 50 юзеров это как то топорно.
Есть ли более элегантное решение, которое позволит решить эту задачу?
Спасибо
Разграничения VPN пользователей
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Профили.
Через них динамическое добавление либо в список адресов, либо список интерфейсов.
Дальше firewall.
Через них динамическое добавление либо в список адресов, либо список интерфейсов.
Дальше firewall.
Telegram: @thexvo
-
ek-titan
- Сообщения: 21
- Зарегистрирован: 15 июл 2020, 19:32
Можно максимально подробно, пожалуйста?
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Создайте несколько ppp-профилей.
Для каждого создайте либо список адресов, либо список интерфейсов - как вам удобнее.
В firewall'е ограничьте доступ до каждого из ресурсов тем списком, которым надо.
Ну и дальше создавайте ppp-пользователей с использованием нужного профиля.
Пользователь при подключении будет динамически добавляться в нужный список и сможет ходить только туда, куда ему разрешено.
Для каждого создайте либо список адресов, либо список интерфейсов - как вам удобнее.
В firewall'е ограничьте доступ до каждого из ресурсов тем списком, которым надо.
Ну и дальше создавайте ppp-пользователей с использованием нужного профиля.
Пользователь при подключении будет динамически добавляться в нужный список и сможет ходить только туда, куда ему разрешено.
Telegram: @thexvo