Jak omezit přístup VPN uživatelům

Dolelp

Dobrý den, obracím se na vás s dotazem ohledně VPN přístupů. Mám například síť 10.0.5.1/24, kde jsou různá zařízení. Přes veřejnou adresu a VPN se přihlásí uživatel do této místní síťě. Takže se může dostat na každou adresu. A já bych potřeboval, aby například uživatel, který bude vzdáleně provádět servis kotle se dostal pouze na adresu kotle. Například 10.0.5.222 a ostatní adresy zakázat. Napadlo mě udělat pool pro VPN uživatele např. 10.0.5.230-10.0.5.235 a tyto vnitřní adresy omezovat. Například, tím, že pokud bude zdrojová adresa 10.0.5.200 a bude se chtít dostat na vnitřní adresu, kromě adresy 10.0.5.222 bude router požadavky zahazovat.

chain=input action=drop protocol=tcp src-address=10.0.5.200 dst-address=!10.0.5.222 src-address-type=local
log=no log-prefix=""

Budu rád za každou radu, jak toto udělat, případně jiné způsoby, jak omezit vpn uživatele.
Děkuji

jchudoba

Pokaždé když se někdo někde zbytečně odkazuje na IP adresu, Bůh zabije koťátko.

Zvážil bych podívat se co umí "PPP/XXX server binding" - ve zkratce vytvoří interface na který lze odkazovat ve firewallu - tedy kotelní servisák bude mít pro jeho usera vlastní interface a pravidla se pověsí na tento interface. Potom se to obejde zcela bez přemýšlení o adresách a bude to čitelnější. A když se někdy rozhodneš přeadresovat, nebudeš muset do firewallu hrabat.

Ideálně potom pravidlo bude z interfacu servisákova VPN uživatele na VLAN ve které je kotel-bez jakékoli zmínky o adrese.

Mimochodem, je nějaký důvod aby byl kotel ve vnitřní síti spolu s počítači a tiskárnami a nikoli v extra separátní VLAN?

Dolelp

jchudoba Děkuji, tento způsob funguje a mohu se na něj odkazovat ve Firewallu.