По умолчанию пользователь VPN сможет общаться со всеми сетями и VLAN. Если вы хотите ввести ограничения, необходимо создать правила файрвола. Если у вас есть пользователь VPN, который не может подключиться к определённым VLAN, то, возможно, стоит объяснить, какие сети у вас есть, с какими из них пользователь VPN может взаимодействовать, а с какими — нет.

Ты следовал шагам, которые указаны здесь? Я ссылался на них выше. Честно говоря, я не совсем понимаю, с чем у тебя возникли проблемы.

Я использую встроенный radius-сервер. Настройка простая и официально описана здесь. В разделе Create User Accounts нужно добавить VLAN, к которому вы хотите дать пользователю доступ. В разделе Configure the L2TP Network также необходимо отметить Require MS-CHAP v2. На скриншоте в инструкции этого в секции RADIUS внизу не показано, но контроллеры версии 5.7.x и новее это поддерживают, и включение этой опции обеспечит лучшую совместимость с устройствами Windows. Что касается VLAN, я предполагаю, что у вас эта часть уже работает.

То, что избавило бы от необходимости писать этот пост и создавать тему — это чтобы при назначении VLAN ID в radius у пользователя, как описано выше, этот пользователь получал IP из этого VLAN при подключении по VPN. Но вместо этого им назначается IP из адресного пространства VPN, а не из VLAN. Для этого надо использовать файл config.gateway.json, чтобы назначать каждому пользователю статический IP из нужного VLAN. Вот мой пример, слегка отформатированный для удобства чтения:

{
   "service": {
       "radius-server": {
           "user": {
               "user1": { "ip-address": "10.1.13.2"},
               "user2": { "ip-address": "10.1.13.3"},
               "user3": { "ip-address": "10.1.14.2"}
           }
       }
   }
}

Как видите, пользователям user1 и user2 назначаются IP из одной сети, а user3 — из другой. Это пример для пользователей в двух разных VLAN. VLAN 13 для сети 10.1.13.x и VLAN 14 для другой — они определяются в разделе Networks, но подставляйте свои VLAN ID и сети.

Далее нам нужно настроить правила фаервола, чтобы ограничить пользователя, потому что VLAN не может содержать этого VPN-пользователя само по себе, как можно было бы ожидать. Для нескольких VLAN и сетей удобно создавать группы фаервола. Я использую группы для следующей части, но если у вас один пользователь — можно сразу перейти к правилам. В Settings > Routing & Firewall > Firewall > Groups создайте три группы для каждого пользователя: user1-vpn-user, user1-networks-allowed и user1-networks-restricted. Для каждой группы:

user1-vpn-user: IP пользователя, совпадающий с config.gateway.json, например 10.1.13.2  
user1-networks-allowed: CIDR сети VLAN, например 10.1.13.0/24 для user1  
user1-networks-restricted: CIDR сетей, недоступных user1, например 192.168.1.0/24, 10.1.14.0/24 и т.д.

Теперь первое правило создайте в Settings > Routing & Firewall > Firewall > Rules IPv4 > GUEST IN. Создайте правило Allow user1 VPN user to VLAN. Выберите Action: Accept. В Source IPv4 Address Group укажите user1-networks-allowed, в Destination IPv4 Address Group — user1-vpn-user, затем сохраните.

Второе правило создайте в LAN IN. Создайте правило user1 Restrictions. Выберите Action: Drop. В Source IPv4 Address Group укажите user1-networks-restricted, в Destination IPv4 Address Group — user1-vpn-user, затем сохраните.

И вот, всё. Это результат нескольких переписок с техподдержкой Ubiquiti. Я использую этот способ в сети с несколькими арендаторами. Много VLAN и несколько клиентов, которые хотят подключаться по VPN к своим сетям. Поэтому группы фаервола очень полезны. Разумеется, используйте свои сети и VLAN, так как мои — только для примера. user1 и user2 в некоторых группах могли бы быть объединены, но вы можете адаптировать мои примеры под свои задачи.

Пойнтеры — это советы или предложения без лишних подробностей. Постараюсь сделать это и выложить на этой неделе.

У меня получилось настроить пользователей VPN на конкретный VLAN. Тебе просто нужны указания или что-то большее? Может, стоит сделать подробную инструкцию.

ИЗМЕНЕНИЕ: Не обращайте внимания на мой первый пост, так как мои комментарии основывались на том, что клиенты L2TP VPN якобы не могли подключиться к виртуальным машинам Windows 10 через RDP в моей конкретной конфигурации. Это была не проблема UniFi, а проблема с настройками подсетей в параметрах Ethernet-адаптера моей виртуальной машины Windows 10. Все клиенты L2TP по умолчанию могут подключаться к ВМ через RDP после входа по VPN. Ниже — обходной путь для ограничения клиентов L2TP к конкретным VLAN.

Как уже писалось выше в этой теме, клиенты с туннелем L2TP по умолчанию автоматически получают маршрутизацию ко всем созданным корпоративным VLAN и стандартной LAN (независимо от подсетей). Мне пришлось немного по-другому подойти к защите L2TP клиентов, ограничив их одним VLAN для удалённых пользователей с ВМ. «Решение» или «обходной путь», который на самом деле несложен, заключается в создании нескольких правил Firewall LAN OUT, запрещающих всем L2TP клиентам доступ к VLAN кроме того, для которого нет конкретного правила Drop в настройках брандмауэра. У вас, конечно, всё может быть по-другому, так как политика/группы/правила для LAN OUT настраиваются под ваши конкретные потребности.

Сначала пара полезных ссылок:
Полезные материалы по общему использованию Firewall в UniFi
https://help.ubnt.com/hc/en-us/articles/115010254227-UniFi-How-to-Disable-InterVLAN-Routing-on-the-UniFi-USG
https://www.mcbsys.com/blog/2017/11/control-inter-vlan-communication-with-the-unifi-usg-firewall/

Конкретно про блокировку доступа клиентов L2TP VPN к определённым внутренним сетям
https://community.ui.com/questions/6a7f4d46-cd30-4aac-bf5d-cbac88408b7f

Вот как я поступил — повторяю, ваши результаты могут отличаться...

Предположим, что вы уже настроили пул адресов своей L2TP Server Network. Сначала нужно создать Firewall Group, которая покрывает IPv4-диапазон адресов вашего пула клиентов L2TP — пример на скриншоте ниже:

Затем в Firewall -> Rules IPv4 -> LAN OUT нужно создать столько правил, сколько нужно, чтобы заблокировать весь трафик L2TP клиентов к внутренним LAN, VLAN и т.п., которые вы хотите ограничить. Пример правила ниже:

Повторяйте процедуру, сколько потребуется. Возможно, всё можно сделать одним правилом LAN OUT, но у меня так сработало лучше, и я остановился на этом. Ниже скриншот трёх моих правил, ограничивающих L2TP трафик только нужным VLAN:

Все ещё нет решения этой проблемы?

Если я настраиваю стандартный VPN L2TP для внешних клиентов через UI, они получают доступ ко всем VLAN, включая админский VLAN. Это неприемлемо — такая VPN функция мне не нужна!

Вопрос 1: Какой будет эффект, если в UI пользователя Radius указать конкретный VLAN? Наверное, это не направит пользователя в этот VLAN.

Вопрос 2: Как ограничить внешнего VPN-клиента доступом только к определённому VLAN в зависимости от пользователя в Radius? Решения через json-файл не предлагать!

У меня версии 5.6.20 и 4.4.8.

Кстати, скорость у VPN-клиентов отвратительная — меньше 20 Мбит/с.