Configuración de grupos de seguridad y NACL para su uso con un servidor VPN
Los grupos de seguridad y las listas de control de acceso a la red (NACL) pueden configurarse en la subred del servidor VPN en la que está desplegado, así como en otras subredes de la VPC que se comunican a través del túnel VPN.
Si configura grupos de seguridad y NACL en la subred del servidor VPN, asegúrese de que existen las siguientes reglas para permitir el tráfico del túnel VPN. Para obtener más información, consulte Acerca de los grupos de seguridad y Configuración de las ACL de red.
Si no especifica un grupo de seguridad al suministrar el servidor VPN, el grupo de seguridad predeterminado de la VPC se conecta al servidor VPN. Puede conectar otros grupos de seguridad al servidor VPN después de suministrar el servidor.
Reglas para el tráfico del protocolo VPN
Los servidores VPN se pueden ejecutar en protocolos TCP o UDP. Puede especificar el protocolo y el puerto al suministrar el servidor VPN. Debe abrir el protocolo y el puerto correspondientes con las reglas del grupo de seguridad y NACL.
Reglas de grupo de seguridad para un servidor VPN
| Reglas de entrada/de salida |
Protocolo |
Tipo de origen o destino |
Origen |
Valor |
| de entrada |
VPN server protocol |
Bloque de CIDR |
0.0.0.0/0 |
VPN server port |
| de salida |
VPN server protocol |
Bloque de CIDR |
0.0.0.0/0 |
VPN server port |
Reglas NACL para un servidor VPN
| Reglas de entrada/de salida |
Protocolo |
IP de origen |
Puerto de origen |
IP de destino |
Puerto de destino |
| de entrada |
VPN server protocol |
Cualquiera |
Cualquiera |
VPN server subnet |
VPN server port |
| de salida |
VPN server protocol |
VPN server subnet |
VPN server port |
Cualquiera |
Cualquiera |
Por ejemplo, por defecto, el servidor VPN se ejecuta en el puerto UDP 443, por lo que debe configurar el grupo de seguridad y las reglas NACL de la siguiente manera:
Información de configuración de las reglas del grupo de seguridad de un servidor VPN con protocolo y puerto predeterminados
| Reglas de entrada/de salida |
Protocolo |
Tipo de origen o destino |
Origen |
Valor |
| de entrada |
UDP |
Bloque de CIDR |
0.0.0.0/0 |
443 |
| de salida |
UDP |
Bloque de CIDR |
0.0.0.0/0 |
443 |
Información de configuración para un NACL de un servidor VPN con protocolo y puerto por defecto
| Reglas de entrada/de salida |
Protocolo |
IP de origen |
Puerto de origen |
IP de destino |
Puerto de destino |
| de entrada |
UDP |
Cualquiera |
Cualquiera |
VPN server subnet |
443 |
| de salida |
UDP |
VPN server subnet |
443 |
Cualquiera |
Cualquiera |
Reglas para tráfico VPN con acción de ruta deliver
Cuando el cliente está conectado al servidor VPN, el servidor VPN elimina todo el tráfico procedente del cliente de forma predeterminada. Tiene que configurar la ruta VPN en el servidor VPN para permitir este tráfico. La acción de la ruta puede
ser deliver o translate.
- Cuando la acción es
deliver, después de que el paquete se descifra del túnel, el paquete se reenvía directamente, por lo que la IP de origen del paquete es la IP del cliente de VPN, que es de la agrupación de IP del cliente.
- Cuando la acción es
translate, después de que el paquete se descifra del túnel, la dirección IP de origen del paquete se convierte en la IP privada del servidor VPN y, luego, se envía el paquete.
Tenga en cuenta qué CIDR debe especificarse al crear el grupo de seguridad y las reglas NACL.
Reglas de grupo de seguridad para una ruta de entrega VPN en el servidor VPN
| Reglas de entrada/de salida |
Protocolo |
Tipo de origen o destino |
Origen |
Valor |
| de entrada |
Todos |
Bloque de CIDR |
VPN route destination CIDR |
Cualquiera |
| de salida |
Todos |
Bloque de CIDR |
VPN route destination CIDR |
Cualquiera |
Reglas NACL para una ruta de entrega VPN en la subred del servidor VPN
| Reglas de entrada/de salida |
Protocolo |
IP de origen |
Puerto de origen |
IP de destino |
Puerto de destino |
| de entrada |
Todos |
VPN route destination CIDR |
Cualquiera |
VPN server client IP pool |
Cualquiera |
| de salida |
Todos |
VPN server client IP pool |
Cualquiera |
VPN route destination CIDR |
Cualquiera |
Al mismo tiempo, es necesario configurar el grupo de seguridad y NACL en el servidor virtual VPC para desbloquear el tráfico del cliente VPN:
Reglas de grupo de seguridad para una ruta de entrega VPN en la interfaz de servidor virtual VPC
| Reglas de entrada/de salida |
Protocolo |
Tipo de origen o destino |
Origen |
Valor |
| de entrada |
Todos |
Bloque de CIDR |
VPN server client IP pool |
Cualquiera |
| de salida |
Todos |
Bloque de CIDR |
VPN server client IP pool |
Cualquiera |
Reglas NACL para una ruta de entrega VPN en la subred del servidor virtual VPC
| Reglas de entrada/de salida |
Protocolo |
IP de origen |
Puerto de origen |
IP de destino |
Puerto de destino |
| de entrada |
Todos |
VPN server client IP pool |
Cualquiera |
VPN route destination CIDR |
Cualquiera |
| de salida |
Todos |
VPN route destination CIDR |
Cualquiera |
VPN server client IP pool |
Cualquiera |
Por ejemplo, si utiliza 172.16.0.0/20 como agrupación de IP de cliente al suministrar el servidor VPN y desea acceder a los recursos de la subred 10.240.128.0/24 desde el cliente de VPN, debe crear una ruta de VPN con
el destino: 10.240.128.0/24 y la acción: deliver. También debe configurar el grupo de seguridad y las reglas NACL como se indica a continuación:
Reglas de grupo de seguridad para una ruta de entrega VPN en el servidor VPN
| Reglas de entrada/de salida |
Protocolo |
Tipo de origen o destino |
Origen |
Valor |
| de entrada |
Todos |
Bloque de CIDR |
10.240.128.0/24 |
Cualquiera |
| de salida |
Todos |
Bloque de CIDR |
10.240.128.0/24 |
Cualquiera |
Reglas NACL para una ruta de entrega VPN en la subred del servidor VPN
| Reglas de entrada/de salida |
Protocolo |
IP de origen |
Puerto de origen |
IP de destino |
Puerto de destino |
| de entrada |
Todos |
10.240.128.0/24 |
Cualquiera |
172.16.0.0/20 |
Cualquiera |
| de salida |
Todos |
172.16.0.0/20 |
Cualquiera |
10.240.128.0/24 |
Cualquiera |
Reglas de grupo de seguridad para una ruta de entrega VPN en el servidor virtual VPC
| Reglas de entrada/de salida |
Protocolo |
Tipo de origen o destino |
Origen |
Valor |
| de entrada |
Todos |
Bloque de CIDR |
172.16.0.0/20 |
Cualquiera |
| de salida |
Todos |
Bloque de CIDR |
172.16.0.0/20 |
Cualquiera |
Reglas NACL para una ruta de entrega VPN en la subred del servidor virtual VPC
| Reglas de entrada/de salida |
Protocolo |
IP de origen |
Puerto de origen |
IP de destino |
Puerto de destino |
| de entrada |
Todos |
172.16.0.0/20 |
Cualquiera |
10.240.128.0/24 |
Cualquiera |
| de salida |
Todos |
10.240.128.0/24 |
Cualquiera |
172.16.0.0/20 |
Cualquiera |
Reglas para tráfico VPN con acción de ruta translate
Las reglas para la ruta de conversión de VPN son casi iguales a las de la ruta de entrega. La única diferencia es que la IP de origen del paquete se convierte en la IP privada del servidor VPN. Por lo tanto, debe utilizar la subred del servidor
VPN en lugar del grupo de IP de cliente del servidor VPN.
Si selecciona varias subredes al aprovisionar el servidor VPN, debe incluir todas las subredes en el grupo de seguridad y las reglas NACL.
Reglas del grupo de seguridad para una ruta de conversión de VPN en el servidor VPN
| Reglas de entrada/de salida |
Protocolo |
Tipo de origen o destino |
Origen |
Valor |
| de entrada |
Todos |
Bloque de CIDR |
VPN route destination CIDR |
Cualquiera |
| de salida |
Todos |
Bloque de CIDR |
VPN route destination CIDR |
Cualquiera |
Reglas NACL para una ruta de traducción VPN en la subred del servidor VPN
| Reglas de entrada/de salida |
Protocolo |
IP de origen |
Puerto de origen |
IP de destino |
Puerto de destino |
| de entrada |
Todos |
VPN route destination CIDR |
Cualquiera |
VPN server subnet CIDR |
Cualquiera |
| de salida |
Todos |
VPN server subnet CIDR |
Cualquiera |
VPN route destination CIDR |
Cualquiera |
Normalmente, el destino de la ruta de conversión de VPN está fuera de la VPC. Por ejemplo, supongamos que desea utilizar un servidor VPN para acceder a la instancia de servidor virtual de la infraestructura clásica de IBM. Al mismo tiempo, debe
configurar reglas de cortafuegos en el destino para desbloquear el tráfico del cliente VPN.
Por ejemplo, si utiliza las subredes 10.240.64.0/24 y 10.240.129.0/24 al suministrar el servidor VPN, hay una subred 10.187.190.0/26 en la infraestructura clásica de IBM y desea acceder a la instancia de
servidor virtual clásico desde el cliente VPN. A continuación, debe crear una ruta VPN con destino: 10.187.190.0/26, acción: translate y configurar el grupo de seguridad y las reglas NACL como se indica a continuación:
Reglas del grupo de seguridad para una ruta de conversión de VPN en el servidor VPN
| Reglas de entrada/de salida |
Protocolo |
Tipo de origen o destino |
Origen |
Valor |
| de entrada |
Todos |
Bloque de CIDR |
10.187.190.0/26 |
Cualquiera |
| de salida |
Todos |
Bloque de CIDR |
10.187.190.0/26 |
Cualquiera |
Reglas NACL para una ruta de traducción VPN en la subred del servidor VPN
| Reglas de entrada/de salida |
Protocolo |
IP de origen |
Puerto de origen |
IP de destino |
Puerto de destino |
| de entrada |
Todos |
10.187.190.0/26 |
Cualquiera |
10.240.64.0/24 |
Cualquiera |
| de entrada |
Todos |
10.187.190.0/26 |
Cualquiera |
10.240.129.0/24 |
Cualquiera |
| de salida |
Todos |
10.240.64.0/24 |
Cualquiera |
10.187.190.0/26 |
Cualquiera |
| de salida |
Todos |
10.240.129.0/24 |
Cualquiera |
10.187.190.0/26 |
Cualquiera |
Reglas de cortafuegos para una ruta de conversión de VPN en el dispositivo de cortafuegos de destino (opcional)
| Reglas de entrada/de salida |
Protocolo |
IP de origen |
Puerto de origen |
IP de destino |
Puerto de destino |
| de entrada |
Todos |
10.240.64.0/24 |
Cualquiera |
10.187.190.0/26 |
Cualquiera |
| de entrada |
Todos |
10.240.129.0/24 |
Cualquiera |
10.187.190.0/26 |
Cualquiera |
| de salida |
Todos |
10.187.190.0/26 |
Cualquiera |
10.240.64.0/24 |
Cualquiera |
| de salida |
Todos |
10.187.190.0/26 |
Cualquiera |
10.240.129.0/24 |
Cualquiera |