設定與 VPN 伺服器搭配使用的安全群組和 NACL
安全群組和網路存取控制清單 (NACL) 可以設定在部署 VPN 伺服器的 VPN 子網路上,以及透過 VPN 通道通訊的其他 VPC 子網路上。
如果您在 VPN 伺服器的子網路上設定安全群組和 NACL,請確定以下規則已就位,以允許 VPN 通道流量。 如需相關資訊,請參閱 關於安全群組 及 設定網路 ACL。
如果您在佈建 VPN 伺服器時未指定安全群組,則 VPC 的預設安全群組會連接至 VPN 伺服器。 在佈建伺服器之後,您可以將其他安全群組連接至 VPN 伺服器。
VPN 通訊協定資料流量的規則
VPN 伺服器可以在 TCP 或 UDP 通訊協定上執行。 您可以在佈建 VPN 伺服器時指定通訊協定及埠。 您必須使用安全群組規則和 NACL 開啟對應的通訊協定和連接埠。
VPN 伺服器的安全群組規則
| 入埠/出埠規則 |
通訊協定 |
來源/目的地類型 |
來源 |
值 |
| 入埠 |
VPN server protocol |
CIDR 區塊 |
0.0.0.0/0 |
VPN server port |
| 出埠 |
VPN server protocol |
CIDR 區塊 |
0.0.0.0/0 |
VPN server port |
VPN 伺服器的 NACL 規則
| 入埠/出埠規則 |
通訊協定 |
來源 IP |
來源埠 |
目的地 IP |
目的地埠 |
| 入埠 |
VPN server protocol |
全部 |
全部 |
VPN server subnet |
VPN server port |
| 出埠 |
VPN server protocol |
VPN server subnet |
VPN server port |
全部 |
全部 |
例如,預設情況下,VPN 伺服器在 UDP 連接埠 443 上執行,因此您應該設定安全群組和 NACL 規則如下:
預設協定和連接埠的VPN伺服器安全群組規則配置訊息
| 入埠/出埠規則 |
通訊協定 |
來源/目的地類型 |
來源 |
值 |
| 入埠 |
UDP |
CIDR 區塊 |
0.0.0.0/0 |
443 |
| 出埠 |
UDP |
CIDR 區塊 |
0.0.0.0/0 |
443 |
具有預設通訊協定和連接埠的 VPN 伺服器 NACL 的設定資訊
| 入埠/出埠規則 |
通訊協定 |
來源 IP |
來源埠 |
目的地 IP |
目的地埠 |
| 入埠 |
UDP |
全部 |
全部 |
VPN server subnet |
443 |
| 出埠 |
UDP |
VPN server subnet |
443 |
全部 |
全部 |
使用 deliver 遞送動作的 VPN 資料流量規則
當用戶端連接至 VPN 伺服器時,依預設,VPN 伺服器會捨棄來自用戶端的所有資料流量。 您必須在 VPN 伺服器上配置 VPN 路由,以容許此資料流量。 路由的動作可以是 deliver 或 translate。
- 當動作為
deliver 時,在從通道解密封包之後,會直接轉遞封包,因此封包的來源 IP 是來自用戶端 IP 儲存區的 VPN 用戶端 IP。
- 當動作為
translate 時,從通道解密封包之後,會將封包的來源 IP 轉換為 VPN 伺服器的專用 IP,然後傳送封包。
請注意在建立安全群組和 NACL 規則時,應該指定哪個 CIDR。
VPN的安全群組規則在VPN伺服器上下發送路由
| 入埠/出埠規則 |
通訊協定 |
來源/目的地類型 |
來源 |
值 |
| 入埠 |
全部 |
CIDR 區塊 |
VPN route destination CIDR |
全部 |
| 出埠 |
全部 |
CIDR 區塊 |
VPN route destination CIDR |
全部 |
VPN 伺服器子網路上 VPN 傳送路由的 NACL 規則
| 入埠/出埠規則 |
通訊協定 |
來源 IP |
來源埠 |
目的地 IP |
目的地埠 |
| 入埠 |
全部 |
VPN route destination CIDR |
全部 |
VPN server client IP pool |
全部 |
| 出埠 |
全部 |
VPN server client IP pool |
全部 |
VPN route destination CIDR |
全部 |
同時,您需要在 VPC 虛擬伺服器上設定安全群組和 NACL,以解除 VPN 用戶端的流量封鎖:
VPC 虛擬伺服器介面上 VPN 傳送路由的安全群組規則
| 入埠/出埠規則 |
通訊協定 |
來源/目的地類型 |
來源 |
值 |
| 入埠 |
全部 |
CIDR 區塊 |
VPN server client IP pool |
全部 |
| 出埠 |
全部 |
CIDR 區塊 |
VPN server client IP pool |
全部 |
VPC 虛擬伺服器子網路上 VPN 傳送路由的 NACL 規則
| 入埠/出埠規則 |
通訊協定 |
來源 IP |
來源埠 |
目的地 IP |
目的地埠 |
| 入埠 |
全部 |
VPN server client IP pool |
全部 |
VPN route destination CIDR |
全部 |
| 出埠 |
全部 |
VPN route destination CIDR |
全部 |
VPN server client IP pool |
全部 |
例如,如果您在佈建 VPN 伺服器時使用 172.16.0.0/20 作為用戶端 IP 儲存區,並且想要從 VPN 用戶端存取子網路 10.240.128.0/24 的資源,則需要建立目的地為 10.240.128.0/24 且動作為 deliver 的 VPN 路徑。 您也應該設定安全群組和 NACL 規則如下:
VPN的安全群組規則在VPN伺服器上下發送路由
| 入埠/出埠規則 |
通訊協定 |
來源/目的地類型 |
來源 |
值 |
| 入埠 |
全部 |
CIDR 區塊 |
10.240.128.0/24 |
全部 |
| 出埠 |
全部 |
CIDR 區塊 |
10.240.128.0/24 |
全部 |
VPN 伺服器子網路上 VPN 傳送路由的 NACL 規則
| 入埠/出埠規則 |
通訊協定 |
來源 IP |
來源埠 |
目的地 IP |
目的地埠 |
| 入埠 |
全部 |
10.240.128.0/24 |
全部 |
172.16.0.0/20 |
全部 |
| 出埠 |
全部 |
172.16.0.0/20 |
全部 |
10.240.128.0/24 |
全部 |
VPC 虛擬伺服器上 VPN 傳送路由的安全群組規則
| 入埠/出埠規則 |
通訊協定 |
來源/目的地類型 |
來源 |
值 |
| 入埠 |
全部 |
CIDR 區塊 |
172.16.0.0/20 |
全部 |
| 出埠 |
全部 |
CIDR 區塊 |
172.16.0.0/20 |
全部 |
VPC 虛擬伺服器子網路上 VPN 傳送路由的 NACL 規則
| 入埠/出埠規則 |
通訊協定 |
來源 IP |
來源埠 |
目的地 IP |
目的地埠 |
| 入埠 |
全部 |
172.16.0.0/20 |
全部 |
10.240.128.0/24 |
全部 |
| 出埠 |
全部 |
10.240.128.0/24 |
全部 |
172.16.0.0/20 |
全部 |
使用 translate 遞送動作的 VPN 資料流量規則
VPN 轉換路徑的規則幾乎與遞送路徑相同。 唯一的差異是封包的來源 IP 會轉換為 VPN 伺服器的專用 IP。 因此,您必須使用 VPN 伺服器的子網路,而非 VPN 伺服器的用戶端 IP 儲存區。
如果在配置 VPN 伺服器時選擇多個子網路,則必須在安全群組和 NACL 規則中包含所有子網路。
VPN 伺服器上 VPN 轉換路由的安全群組規則
| 入埠/出埠規則 |
通訊協定 |
來源/目的地類型 |
來源 |
值 |
| 入埠 |
全部 |
CIDR 區塊 |
VPN route destination CIDR |
全部 |
| 出埠 |
全部 |
CIDR 區塊 |
VPN route destination CIDR |
全部 |
VPN 伺服器子網路上 VPN 轉譯路由的 NACL 規則
| 入埠/出埠規則 |
通訊協定 |
來源 IP |
來源埠 |
目的地 IP |
目的地埠 |
| 入埠 |
全部 |
VPN route destination CIDR |
全部 |
VPN server subnet CIDR |
全部 |
| 出埠 |
全部 |
VPN server subnet CIDR |
全部 |
VPN route destination CIDR |
全部 |
通常,VPN 轉換路徑的目的地是 VPC 之外。 例如,假設您想要使用 VPN 伺服器來存取 IBM 標準基礎架構虛擬伺服器實例。 同時,您必須在目的地上配置防火牆規則,以從 VPN 用戶端解除封鎖資料流量。
例如,如果您在佈建 VPN 伺服器時使用子網路 10.240.64.0/24 及 10.240.129.0/24,則 IBM 標準基礎架構中會有子網路 10.187.190.0/26,且您想要從 VPN 用戶端存取標準虛擬伺服器實例。 然後,您必須建立一個 VPN 路由,目的地為:10.187.190.0/26,動作:translate,並配置安全群組和
NACL 規則如下:
VPN 伺服器上 VPN 轉換路由的安全群組規則
| 入埠/出埠規則 |
通訊協定 |
來源/目的地類型 |
來源 |
值 |
| 入埠 |
全部 |
CIDR 區塊 |
10.187.190.0/26 |
全部 |
| 出埠 |
全部 |
CIDR 區塊 |
10.187.190.0/26 |
全部 |
VPN 伺服器子網路上 VPN 轉譯路由的 NACL 規則
| 入埠/出埠規則 |
通訊協定 |
來源 IP |
來源埠 |
目的地 IP |
目的地埠 |
| 入埠 |
全部 |
10.187.190.0/26 |
全部 |
10.240.64.0/24 |
全部 |
| 入埠 |
全部 |
10.187.190.0/26 |
全部 |
10.240.129.0/24 |
全部 |
| 出埠 |
全部 |
10.240.64.0/24 |
全部 |
10.187.190.0/26 |
全部 |
| 出埠 |
全部 |
10.240.129.0/24 |
全部 |
10.187.190.0/26 |
全部 |
目標防火牆設備上 VPN 轉換路由的防火牆規則(選用)
| 入埠/出埠規則 |
通訊協定 |
來源 IP |
來源埠 |
目的地 IP |
目的地埠 |
| 入埠 |
全部 |
10.240.64.0/24 |
全部 |
10.187.190.0/26 |
全部 |
| 入埠 |
全部 |
10.240.129.0/24 |
全部 |
10.187.190.0/26 |
全部 |
| 出埠 |
全部 |
10.187.190.0/26 |
全部 |
10.240.64.0/24 |
全部 |
| 出埠 |
全部 |
10.187.190.0/26 |
全部 |
10.240.129.0/24 |
全部 |