IBM Cloud Docs
配置与 VPN 服务器一起使用的安全组和 NACL

配置与 VPN 服务器一起使用的安全组和 NACL

可以在部署 VPN 服务器的 VPN 服务器子网上,以及通过 VPN 隧道通信的其他 VPC 子网上配置安全组和网络访问控制列表(NACL)。

如果在 VPN 服务器子网上配置了安全组和 NACL,请确保以下规则已到位,以允许 VPN 隧道流量。 有关更多信息,请参阅 关于安全组设置网络 ACL

如果在供应 VPN 服务器时未指定安全组,那么 VPC 的缺省安全组将连接到 VPN 服务器。 在供应服务器之后,您可以将其他安全组连接到 VPN 服务器。

VPN 协议流量的规则

VPN 服务器可以在 TCP 或 UDP 协议上运行。 您可以在供应 VPN 服务器时指定协议和端口。 您必须使用安全组规则和 NACL 打开相应的协议和端口。

VPN 服务器的安全组规则
入站/出站规则 协议 源/目标类型
入站 VPN server protocol CIDR 块 0.0.0.0/0 VPN server port
出站 VPN server protocol CIDR 块 0.0.0.0/0 VPN server port
VPN 服务器的 NACL 规则
入站/出站规则 协议 源 IP 源端口 目标 IP 目标端口
入站 VPN server protocol 任意 任意 VPN server subnet VPN server port
出站 VPN server protocol VPN server subnet VPN server port 任意 任意

例如,默认情况下,VPN 服务器在 UDP 端口 443 上运行,因此应按如下方式配置安全组和 NACL 规则:

带默认协议和端口的 VPN 服务器安全组规则的配置信息
入站/出站规则 协议 源/目标类型
入站 UDP CIDR 块 0.0.0.0/0 443
出站 UDP CIDR 块 0.0.0.0/0 443
带有默认协议和端口的 VPN 服务器 NACL 的配置信息
入站/出站规则 协议 源 IP 源端口 目标 IP 目标端口
入站 UDP 任意 任意 VPN server subnet 443
出站 UDP VPN server subnet 443 任意 任意

使用 deliver 路由操作的 VPN 流量的规则

当客户机连接到 VPN 服务器时,缺省情况下,VPN 服务器会丢弃来自客户机的所有流量。 您必须在 VPN 服务器上配置 VPN 路由以允许此流量。 路由的作用可以是 delivertranslate

  • 当操作为 deliver 时,从隧道解密包后,将直接转发包,因此包的源 IP 是来自客户机 IP 池的 VPN 客户机 IP。
  • 当操作为 translate 时,从隧道解密包后,将包的源 IP 转换为 VPN 服务器的专用 IP,然后发送包。

请注意,创建安全组和 NACL 规则时应指定哪个 CIDR。

VPN 服务器上 VPN 传送路由的安全组规则
入站/出站规则 协议 源/目标类型
入站 全部 CIDR 块 VPN route destination CIDR 任意
出站 全部 CIDR 块 VPN route destination CIDR 任意
VPN 服务器子网中 VPN 传送路由的 NACL 规则
入站/出站规则 协议 源 IP 源端口 目标 IP 目标端口
入站 全部 VPN route destination CIDR 任意 VPN server client IP pool 任意
出站 全部 VPN server client IP pool 任意 VPN route destination CIDR 任意

同时,需要在 VPC 虚拟服务器上配置安全组和 NACL,以解除对 VPN 客户端流量的封锁:

VPC 虚拟服务器接口上 VPN 传送路由的安全组规则
入站/出站规则 协议 源/目标类型
入站 全部 CIDR 块 VPN server client IP pool 任意
出站 全部 CIDR 块 VPN server client IP pool 任意
VPC 虚拟服务器子网中 VPN 传送路由的 NACL 规则
入站/出站规则 协议 源 IP 源端口 目标 IP 目标端口
入站 全部 VPN server client IP pool 任意 VPN route destination CIDR 任意
出站 全部 VPN route destination CIDR 任意 VPN server client IP pool 任意

例如,如果在供应 VPN 服务器时使用 172.16.0.0/20 作为客户机 IP 池,并且要从 VPN 客户机访问子网 10.240.128.0/24 的资源,那么需要创建具有目标 10.240.128.0/24 和操作 deliver 的 VPN 路由。 您还应配置安全组和 NACL 规则如下:

VPN 服务器上 VPN 传送路由的安全组规则
入站/出站规则 协议 源/目标类型
入站 全部 CIDR 块 10.240.128.0/24 任意
出站 全部 CIDR 块 10.240.128.0/24 任意
VPN 服务器子网中 VPN 传送路由的 NACL 规则
入站/出站规则 协议 源 IP 源端口 目标 IP 目标端口
入站 全部 10.240.128.0/24 任意 172.16.0.0/20 任意
出站 全部 172.16.0.0/20 任意 10.240.128.0/24 任意
VPC 虚拟服务器上 VPN 传送路由的安全组规则
入站/出站规则 协议 源/目标类型
入站 全部 CIDR 块 172.16.0.0/20 任意
出站 全部 CIDR 块 172.16.0.0/20 任意
VPC 虚拟服务器子网中 VPN 传送路由的 NACL 规则
入站/出站规则 协议 源 IP 源端口 目标 IP 目标端口
入站 全部 172.16.0.0/20 任意 10.240.128.0/24 任意
出站 全部 10.240.128.0/24 任意 172.16.0.0/20 任意

使用 translate 路由操作的 VPN 流量的规则

VPN 转换路由的规则与交付路由几乎相同。 唯一的区别是将包的源 IP 转换为 VPN 服务器的专用 IP。 因此,必须使用 VPN 服务器的子网,而不是 VPN 服务器的客户机 IP 池。

如果在配置 VPN 服务器时选择了多个子网,则必须在安全组和 NACL 规则中包含所有子网。

VPN 服务器上 VPN 翻译路由的安全组规则
入站/出站规则 协议 源/目标类型
入站 全部 CIDR 块 VPN route destination CIDR 任意
出站 全部 CIDR 块 VPN route destination CIDR 任意
VPN 服务器子网上 VPN 翻译路由的 NACL 规则
入站/出站规则 协议 源 IP 源端口 目标 IP 目标端口
入站 全部 VPN route destination CIDR 任意 VPN server subnet CIDR 任意
出站 全部 VPN server subnet CIDR 任意 VPN route destination CIDR 任意

通常,VPN 转换路由的目标在 VPC 之外。 例如,假设要使用 VPN 服务器来访问 IBM 经典基础架构虚拟服务器实例。 同时,必须在目标上配置防火墙规则以取消阻止来自 VPN 客户端的流量。

例如,如果在供应 VPN 服务器时使用子网 10.240.64.0/2410.240.129.0/24,那么 IBM 经典基础结构中存在子网 10.187.190.0/26,并且您希望从 VPN 客户机访问经典虚拟服务器实例。 然后,您必须创建一条 VPN 路由,其目的地为 10.187.190.0/26,操作:translate 并配置安全组和 NACL 规则如下:

VPN 服务器上 VPN 翻译路由的安全组规则
入站/出站规则 协议 源/目标类型
入站 全部 CIDR 块 10.187.190.0/26 任意
出站 全部 CIDR 块 10.187.190.0/26 任意
VPN 服务器子网上 VPN 翻译路由的 NACL 规则
入站/出站规则 协议 源 IP 源端口 目标 IP 目标端口
入站 全部 10.187.190.0/26 任意 10.240.64.0/24 任意
入站 全部 10.187.190.0/26 任意 10.240.129.0/24 任意
出站 全部 10.240.64.0/24 任意 10.187.190.0/26 任意
出站 全部 10.240.129.0/24 任意 10.187.190.0/26 任意
目标防火墙设备上 VPN 转换路由的防火墙规则(可选)
入站/出站规则 协议 源 IP 源端口 目标 IP 目标端口
入站 全部 10.240.64.0/24 任意 10.187.190.0/26 任意
入站 全部 10.240.129.0/24 任意 10.187.190.0/26 任意
出站 全部 10.187.190.0/26 任意 10.240.64.0/24 任意
出站 全部 10.187.190.0/26 任意 10.240.129.0/24 任意