Configurazione dei gruppi di sicurezza e delle NACL da utilizzare con un server VPN
I gruppi di sicurezza e le liste di controllo degli accessi alla rete (NACL) possono essere configurati sulla subnet del server VPN in cui è distribuito il server VPN, nonché su altre subnet VPC che comunicano attraverso il tunnel VPN.
Se si configurano gruppi di sicurezza e NACL sulla subnet del server VPN, assicurarsi che siano presenti le seguenti regole per consentire il traffico del tunnel VPN. Per ulteriori informazioni, vedi Informazioni sui gruppi di sicurezza e Configurazione degli ACL di rete.
Se non specifichi un gruppo di sicurezza quando esegui il provisioning del server VPN, il gruppo di sicurezza predefinito del VPC è collegato al server VPN. È possibile collegare altri gruppi di sicurezza al server VPN dopo aver eseguito il provisioning
del server.
Regole per il traffico del protocollo VPN
I server VPN possono essere eseguiti su protocolli TCP o UDP. Puoi specificare il protocollo e la porta quando esegui il provisioning del server VPN. È necessario aprire il protocollo e la porta corrispondenti con le regole del gruppo di sicurezza
e NACL.
Regole del gruppo di sicurezza per un server VPN
| Regole in entrata / in uscita |
Protocollo |
Tipo di origine / destinazione |
Origine |
Valore |
| in entrata |
VPN server protocol |
Blocco CIDR |
0.0.0.0/0 |
VPN server port |
| in uscita |
VPN server protocol |
Blocco CIDR |
0.0.0.0/0 |
VPN server port |
Regole NACL per un server VPN
| Regole in entrata / in uscita |
Protocollo |
IP di origine |
Porta di origine |
IP di destinazione |
Porta di destinazione |
| in entrata |
VPN server protocol |
Qualsiasi |
Qualsiasi |
VPN server subnet |
VPN server port |
| in uscita |
VPN server protocol |
VPN server subnet |
VPN server port |
Qualsiasi |
Qualsiasi |
Ad esempio, per impostazione predefinita, il server VPN viene eseguito sulla porta UDP 443, quindi è necessario configurare il gruppo di sicurezza e le regole NACL come segue:
Informazioni di configurazione per le regole del gruppo di sicurezza di un server VPN con protocollo e porta predefiniti
| Regole in entrata / in uscita |
Protocollo |
Tipo di origine / destinazione |
Origine |
Valore |
| in entrata |
UDP |
Blocco CIDR |
0.0.0.0/0 |
443 |
| in uscita |
UDP |
Blocco CIDR |
0.0.0.0/0 |
443 |
Informazioni sulla configurazione di una NACL di un server VPN con protocollo e porta predefiniti
| Regole in entrata / in uscita |
Protocollo |
IP di origine |
Porta di origine |
IP di destinazione |
Porta di destinazione |
| in entrata |
UDP |
Qualsiasi |
Qualsiasi |
VPN server subnet |
443 |
| in uscita |
UDP |
VPN server subnet |
443 |
Qualsiasi |
Qualsiasi |
Regole per il traffico VPN con l'azione di instradamento deliver
Quando il client è connesso al server VPN, il server VPN elimina tutto il traffico dal client per impostazione predefinita. È necessario configurare l'instradamento VPN sul server VPN per consentire questo traffico. L'azione del percorso può
essere deliver o translate.
- Quando l'azione viene
deliver, dopo che il pacchetto viene decodificato dal tunnel, il pacchetto viene inoltrato direttamente, in modo che l'IP di origine sia l'IP client VPN, che proviene dal pool IP client.
- Quando l'azione è
translate, dopo che il pacchetto è stato decodificato dal tunnel, l'indirizzo IP di origine del pacchetto viene convertito nell'IP privato del server VPN, quindi il pacchetto viene inviato.
Si noti quale CIDR deve essere specificato quando si crea il gruppo di sicurezza e le regole NACL.
Regole del gruppo di sicurezza per un percorso di consegna VPN sul server VPN
| Regole in entrata / in uscita |
Protocollo |
Tipo di origine / destinazione |
Origine |
Valore |
| in entrata |
ALL |
Blocco CIDR |
VPN route destination CIDR |
Qualsiasi |
| in uscita |
ALL |
Blocco CIDR |
VPN route destination CIDR |
Qualsiasi |
Regole NACL per una rotta di consegna VPN sulla sottorete del server VPN
| Regole in entrata / in uscita |
Protocollo |
IP di origine |
Porta di origine |
IP di destinazione |
Porta di destinazione |
| in entrata |
ALL |
VPN route destination CIDR |
Qualsiasi |
VPN server client IP pool |
Qualsiasi |
| in uscita |
ALL |
VPN server client IP pool |
Qualsiasi |
VPN route destination CIDR |
Qualsiasi |
Allo stesso tempo, è necessario configurare il gruppo di sicurezza e NACL sul server virtuale VPC per sbloccare il traffico dal client VPN:
Regole del gruppo di sicurezza per un percorso di consegna VPN sull'interfaccia del server virtuale VPC
| Regole in entrata / in uscita |
Protocollo |
Tipo di origine / destinazione |
Origine |
Valore |
| in entrata |
ALL |
Blocco CIDR |
VPN server client IP pool |
Qualsiasi |
| in uscita |
ALL |
Blocco CIDR |
VPN server client IP pool |
Qualsiasi |
Regole NACL per una rotta di consegna VPN sulla sottorete del server virtuale VPC
| Regole in entrata / in uscita |
Protocollo |
IP di origine |
Porta di origine |
IP di destinazione |
Porta di destinazione |
| in entrata |
ALL |
VPN server client IP pool |
Qualsiasi |
VPN route destination CIDR |
Qualsiasi |
| in uscita |
ALL |
VPN route destination CIDR |
Qualsiasi |
VPN server client IP pool |
Qualsiasi |
Ad esempio, se si utilizza 172.16.0.0/20 come pool IP client quando si esegue il provisioning del server VPN e si desidera accedere alle risorse della sottorete 10.240.128.0/24 dal client VPN, è necessario creare un
instradamento VPN con destinazione:10.240.128.0/24 e azione: deliver. È inoltre necessario configurare il gruppo di sicurezza e le regole NACL come segue:
Regole del gruppo di sicurezza per un percorso di consegna VPN sul server VPN
| Regole in entrata / in uscita |
Protocollo |
Tipo di origine / destinazione |
Origine |
Valore |
| in entrata |
ALL |
Blocco CIDR |
10.240.128.0/24 |
Qualsiasi |
| in uscita |
ALL |
Blocco CIDR |
10.240.128.0/24 |
Qualsiasi |
Regole NACL per una rotta di consegna VPN sulla sottorete del server VPN
| Regole in entrata / in uscita |
Protocollo |
IP di origine |
Porta di origine |
IP di destinazione |
Porta di destinazione |
| in entrata |
ALL |
10.240.128.0/24 |
Qualsiasi |
172.16.0.0/20 |
Qualsiasi |
| in uscita |
ALL |
172.16.0.0/20 |
Qualsiasi |
10.240.128.0/24 |
Qualsiasi |
Regole del gruppo di sicurezza per una rotta di consegna VPN sul server virtuale VPC
| Regole in entrata / in uscita |
Protocollo |
Tipo di origine / destinazione |
Origine |
Valore |
| in entrata |
ALL |
Blocco CIDR |
172.16.0.0/20 |
Qualsiasi |
| in uscita |
ALL |
Blocco CIDR |
172.16.0.0/20 |
Qualsiasi |
Regole NACL per una rotta di consegna VPN sulla sottorete del server virtuale VPC
| Regole in entrata / in uscita |
Protocollo |
IP di origine |
Porta di origine |
IP di destinazione |
Porta di destinazione |
| in entrata |
ALL |
172.16.0.0/20 |
Qualsiasi |
10.240.128.0/24 |
Qualsiasi |
| in uscita |
ALL |
10.240.128.0/24 |
Qualsiasi |
172.16.0.0/20 |
Qualsiasi |
Regole per il traffico VPN con l'azione di instradamento translate
Le regole per la rotta di traduzione VPN sono quasi le stesse della rotta di consegna. L'unica differenza è che l'IP di origine del pacchetto viene convertito nell'IP privato del server VPN. Pertanto, è possibile utilizzare la sottorete del
server VPN invece del pool IP del client del server VPN.
Se si selezionano più sottoreti durante il provisioning del server VPN, è necessario includere tutte le sottoreti nel gruppo di sicurezza e nelle regole NACL.
Regole del gruppo di sicurezza per un percorso di traduzione VPN sul server VPN
| Regole in entrata / in uscita |
Protocollo |
Tipo di origine / destinazione |
Origine |
Valore |
| in entrata |
ALL |
Blocco CIDR |
VPN route destination CIDR |
Qualsiasi |
| in uscita |
ALL |
Blocco CIDR |
VPN route destination CIDR |
Qualsiasi |
Regole NACL per un percorso di traduzione VPN sulla sottorete del server VPN
| Regole in entrata / in uscita |
Protocollo |
IP di origine |
Porta di origine |
IP di destinazione |
Porta di destinazione |
| in entrata |
ALL |
VPN route destination CIDR |
Qualsiasi |
VPN server subnet CIDR |
Qualsiasi |
| in uscita |
ALL |
VPN server subnet CIDR |
Qualsiasi |
VPN route destination CIDR |
Qualsiasi |
Normalmente, la destinazione dell'instradamento di conversione VPN è fuori dal VPC. Ad esempio, supponiamo che tu voglia utilizzare un server VPN per accedere all'istanza del server virtuale dell'infrastruttura classica IBM. Allo stesso tempo,
devi configurare le regole del firewall sulla destinazione per sbloccare il traffico dal client VPN.
Ad esempio, se utilizzi le sottoreti 10.240.64.0/24 e 10.240.129.0/24 quando esegui il provisioning del server VPN, c'è una sottorete 10.187.190.0/26 nell'infrastruttura classica IBM e vuoi accedere all'istanza
del server virtuale classico dal client VPN. Quindi, è necessario creare una rotta VPN con destinazione: 10.187.190.0/26, azione: translate, e configurare il gruppo di sicurezza e le regole NACL come segue:
Regole del gruppo di sicurezza per un percorso di traduzione VPN sul server VPN
| Regole in entrata / in uscita |
Protocollo |
Tipo di origine / destinazione |
Origine |
Valore |
| in entrata |
ALL |
Blocco CIDR |
10.187.190.0/26 |
Qualsiasi |
| in uscita |
ALL |
Blocco CIDR |
10.187.190.0/26 |
Qualsiasi |
Regole NACL per un percorso di traduzione VPN sulla sottorete del server VPN
| Regole in entrata / in uscita |
Protocollo |
IP di origine |
Porta di origine |
IP di destinazione |
Porta di destinazione |
| in entrata |
ALL |
10.187.190.0/26 |
Qualsiasi |
10.240.64.0/24 |
Qualsiasi |
| in entrata |
ALL |
10.187.190.0/26 |
Qualsiasi |
10.240.129.0/24 |
Qualsiasi |
| in uscita |
ALL |
10.240.64.0/24 |
Qualsiasi |
10.187.190.0/26 |
Qualsiasi |
| in uscita |
ALL |
10.240.129.0/24 |
Qualsiasi |
10.187.190.0/26 |
Qualsiasi |
Regole del firewall per una rotta di traduzione VPN sul dispositivo firewall di destinazione (opzionale)
| Regole in entrata / in uscita |
Protocollo |
IP di origine |
Porta di origine |
IP di destinazione |
Porta di destinazione |
| in entrata |
ALL |
10.240.64.0/24 |
Qualsiasi |
10.187.190.0/26 |
Qualsiasi |
| in entrata |
ALL |
10.240.129.0/24 |
Qualsiasi |
10.187.190.0/26 |
Qualsiasi |
| in uscita |
ALL |
10.187.190.0/26 |
Qualsiasi |
10.240.64.0/24 |
Qualsiasi |
| in uscita |
ALL |
10.187.190.0/26 |
Qualsiasi |
10.240.129.0/24 |
Qualsiasi |