SoftEther VPN User Forum

現在、宅内のローカルサーバーに接続するためにVPNを立てています。
サーバー管理のため192.168.x.xに接続できるようローカルブリッジを立てています。
そこに、中国へ渡る友人のためのアカウントを作って渡そうと思っているのですが、ローカルへのアクセス権を与えるのも気持ち悪いです。
そこで、ローカルのコンピュータへのアクセス、サーチなどができず、インターネットに出ることのみできるアカウントを作るにはどうすればよいでしょうか。

アクセスリスト機能を使用して、そのユーザーのセッションからルーター以外のプライベートIPアドレス宛てのパケットを遮断するのが良いと思います。
255.255.255.255 のようなブロードキャストも禁止したほうが良いかもしれませんが、DHCP や ARP を止めてしまうとやや面倒です。
気になるようであれば、DHCP と ARP だけ通して止めても良いかもしれません。

回答いただきありがとうございます。

255.255.255.255 のようなブロードキャストも禁止したほうが良いかもしれませんが、DHCP や ARP を止めてしまうとやや面倒です。
気になるようであれば、DHCP と ARP だけ通して止めても良いかもしれません。

これについてなのですが、DHCPとARPを通すが他は通さないという設定はどこでやればいいのでしょうか。
また、IPv4の設定は分かるのですが、IPv6については勉強不足なためどのようなルールでブロックすればいいかがわかりません。
アクセスされるとまずいIPv6のアドレスの範囲もよろしければ教えていただけますでしょうか。

すみません、誤解がありました。
ARPについては、IPv4 でも IPv6 でもないので、アクセスリストでは遮断できません。
DHCP については、UDP/67 を通過設定にすれば良いと思います。

IPv6 については、一般に NAT が使用されないのでリンクローカルアドレスを遮断してもグローバル IP アドレスでLAN内の通信も行えてしまいます。
特に必要がないのであれば、セキュリティポリシーですべて遮断してしまうのが安全かと思います。

1年越しに再挑戦しています。
やってみたところ、VPNに接続している端末のIPアドレスもが遮断される状態で困っています。
現在DNS,ARP,ICMPv4は無条件で通過、192.168.0.0/16を破棄するというアクセスリストを設定中です。
この状態では通信できず、VPN経由で接続した端末のipアドレスを通過にすると通信できるようになります。
おそらくルーターから仮想HUBを通って端末に戻るパケットまでもが破棄されているのだろうということはわかるのですが、それを通すルールの作り方がわかりません。お力添えいただければ幸いです。

たびたびすみません、自己解決しました。
全てのユーザーが所属するグループを破棄のルールに加えることで、ユーザーに帰ってくるパケットには適用されないようにしました。