交流 › RouterOS › 怎样让VPN客户端只能访问内网

tony.fun 发表于 2012-5-29 21:56:20

怎样让VPN客户端只能访问内网

小弟最近建了个PPTP_VPN服务器，客户端能拔号上来，也可以访问内网了，但是客户端也通过VPN借线，访问外网，占用了服务器的网速。

请问有什么办法可以让客户端，只能访问内网，而不能通过服务器访问外网？

jldfwwt 发表于 2012-5-29 22:09:36

做masquerade的时候源地址指定你的内网网段

tony.fun 发表于 2012-5-29 22:54:50

你看看我这样设对不对。
IP--firewall--nat

General:
          chain: srcnat
          src.address: 192.168.0.0/24
Action:
         action: masquerade

ab30 发表于 2012-5-30 09:31:06

我是这样做的:
做了两个VPN策略, 下面的是允许访问互联网的:
add chain=srcnat src-address=xxx.xxx.xx2.0/28 action=masquerade comment="Enable \
    Nat xxx.xxx.xx2.0-xxx.xxx.xx2.15 （VPN2_Pool 共16台主机）" disabled=no

这是不允许访问互联网的:
add chain=srcnat out-interface=LAN src-address=xxx.xxx.xx2.16-xxx.xxx.xx2.254 \
    action=masquerade comment="VPN 通道" disabled=no
如图:

brqtpt007 发表于 2012-5-30 11:10:41

嗯，我的让他们用，反正也慢:lol

tony.fun 发表于 2012-5-30 12:56:42

brqtpt007 发表于 2012-5-30 11:10 static/image/common/back.gif
嗯，我的让他们用，反正也慢

公司要求不能访问，因为他们那边也是做了上网行为控制的。

tony.fun 发表于 2012-5-30 12:58:06

brqtpt007 发表于 2012-5-30 11:10 static/image/common/back.gif
嗯，我的让他们用，反正也慢

客户端用的是windows的。

本来是想在客户端通过硬件路由VPN过来的，可是连不上，很不稳定。

所以就采用单机客户端直接连接到ROS VPN服务器

查看完整版本: 怎样让VPN客户端只能访问内网