禁止移动VPN用户打开网页 - 知识库文章-艾泰科技

产品中心

企业级路由器

企业级无线路由器

商用无线

防火墙

交换机

智能无线

家用产品

行业产品

其他
解决方案
行业解决方案
更多成功案例
案例解析
服务支持
技术与支持
在线客服

软件与文档下载

知识库

产品体验

产品试用

产品登记
服务
保修政策

服务网点

经销商信息

我的客服

保修与正品查询

办事处网点

预约服务

投诉建议
社区
官方商城

知识库与软件

禁止移动VPN用户打开网页

文档编号:1469
浏览:5339 评分:10
最后更新于:2013-04-10

此文档基于HiPER 4240G V12.3版本

用户需求：

移动用户VPN拨到路由器后能访问内网电脑的共享资源但是不允许打开网页，并且拨号只能获取虚接口地址池的地址，地址池网段是10.10.10.1-10.10.10.50。

配置思路：

只要禁止VPN移动用户的TCP 80端口即可实现禁止打开网页，并且在路由器上设置只允许使用地址池中的地址即可。

配置步骤：

1、设置移动VPN用户的账号：1234密码：1234，再配置地址池，如下图所示：

2、登录路由器命令行，输入命令：set connection/1234 policy inaclgroup IPSSG和set connection/1234 policy filter enable让路由器的防火墙可以对VPN用户进行控制，如下图所示：

3、在外网一台电脑上拨移动用户VPN，看到获取的虚接口地址是10.10.10.3，如下图所示：

4、在4240G上配置防火墙禁止10.10.10.1—10.10.10.50的80端口，如下图所示：

5、在电脑上访问百度就打不开了，如下图所示：

6、用户在虚拟连接—>属性—>网络—>TCP/IP协议里随意手动设置一个IP比如172.172.172.172就又可以上网了，如下图所示：

7、再在命令行输入set ip pool poolonly yes 然后保存就可以让虚拟连接客户端只能从虚接口地址获取地址，如下图所示：

8、如果用户自己手工设置IP就会提示735错误，如下图所示：

总结：

如果拨移动 VPN拨到路由器上，想让路由器的防火墙对移动用户生效需要输入set connection/1234 policy inaclgroup IPSSG set connection/1234 policy filter enable命令。set ip pool pooloney yes让电脑拨上号必须获取路由器地址池下发的地址，此命令对PPPoE拨号和VPN拨号都生效。

解决方案
更多成功案例

关注艾泰

微博 · 企业版
微信 · 公众平台
艾泰艾网络APP

2024 ©上海艾泰科技有限公司版权所有沪ICP备05037453号-1

沪公网安备 31011702003579号