配置安全群組及 ACL 以與 VPN 伺服器搭配使用
安全群組及存取控制清單 (ACL) 可以配置在已部署 VPN 伺服器的 VPN 伺服器子網路上,以及透過 VPN 通道進行通訊的其他 VPC 子網路上。
如果您在 VPN 伺服器子網路上配置安全群組及 ACL,請確定下列規則已備妥,以容許 VPN 通道資料流量。 如需相關資訊,請參閱 關於安全群組 及 設定網路 ACL。
如果您在佈建 VPN 伺服器時未指定安全群組,則 VPC 的預設安全群組會連接至 VPN 伺服器。 在佈建伺服器之後,您可以將其他安全群組連接至 VPN 伺服器。
VPN 通訊協定資料流量的規則
VPN 伺服器可以在 TCP 或 UDP 通訊協定上執行。 您可以在佈建 VPN 伺服器時指定通訊協定及埠。 您必須使用安全群組規則及 ACL 開啟對應的通訊協定及埠。
VPN 伺服器的安全群組規則
入埠/出埠規則 |
通訊協定 |
來源/目的地類型 |
來源 |
值 |
入埠 |
VPN server protocol |
CIDR 區塊 |
0.0.0.0/0 |
VPN server port |
出埠 |
VPN server protocol |
CIDR 區塊 |
0.0.0.0/0 |
VPN server port |
VPN 伺服器的 ACL 規則
入埠/出埠規則 |
通訊協定 |
來源 IP |
來源埠 |
目的地 IP |
目的地埠 |
入埠 |
VPN server protocol |
全部 |
全部 |
VPN server subnet |
VPN server port |
出埠 |
VPN server protocol |
VPN server subnet |
VPN server port |
全部 |
全部 |
例如,依預設,VPN 伺服器會在 UDP 埠 443
上執行,因此您應該配置安全群組及 ACL 規則,如下所示:
預設協定和連接埠的VPN伺服器安全群組規則配置訊息
入埠/出埠規則 |
通訊協定 |
來源/目的地類型 |
來源 |
值 |
入埠 |
UDP |
CIDR 區塊 |
0.0.0.0/0 |
443 |
出埠 |
UDP |
CIDR 區塊 |
0.0.0.0/0 |
443 |
具有預設協定和連接埠的 VPN 伺服器的 ACL 設定訊息
入埠/出埠規則 |
通訊協定 |
來源 IP |
來源埠 |
目的地 IP |
目的地埠 |
入埠 |
UDP |
全部 |
全部 |
VPN server subnet |
443 |
出埠 |
UDP |
VPN server subnet |
443 |
全部 |
全部 |
使用 deliver
遞送動作的 VPN 資料流量規則
當用戶端連接至 VPN 伺服器時,依預設,VPN 伺服器會捨棄來自用戶端的所有資料流量。 您必須在 VPN 伺服器上配置 VPN 路由,以容許此資料流量。 路徑的動作可以是 deliver
或 translate
。
- 當動作為
deliver
時,在從通道解密封包之後,會直接轉遞封包,因此封包的來源 IP 是來自用戶端 IP 儲存區的 VPN 用戶端 IP。
- 當動作為
translate
時,從通道解密封包之後,會將封包的來源 IP 轉換為 VPN 伺服器的專用 IP,然後傳送封包。
請注意,當您建立安全群組及 ACL 規則時,應該指定哪些 CIDR。
VPN的安全群組規則在VPN伺服器上下發送路由
入埠/出埠規則 |
通訊協定 |
來源/目的地類型 |
來源 |
值 |
入埠 |
全部 |
CIDR 區塊 |
VPN route destination CIDR |
全部 |
出埠 |
全部 |
CIDR 區塊 |
VPN route destination CIDR |
全部 |
VPN 的 ACL 規則在 VPN 伺服器子網路上傳遞路由
入埠/出埠規則 |
通訊協定 |
來源 IP |
來源埠 |
目的地 IP |
目的地埠 |
入埠 |
全部 |
VPN route destination CIDR |
全部 |
VPN server client IP pool |
全部 |
出埠 |
全部 |
VPN server client IP pool |
全部 |
VPN route destination CIDR |
全部 |
同時,您需要在 VPC VSI 上配置安全群組及 ACL,以解除封鎖來自 VPN 用戶端的資料流量:
VPN的安全群組規則在VPC VSI上下發路由
入埠/出埠規則 |
通訊協定 |
來源/目的地類型 |
來源 |
值 |
入埠 |
全部 |
CIDR 區塊 |
VPN server client IP pool |
全部 |
出埠 |
全部 |
CIDR 區塊 |
VPN server client IP pool |
全部 |
VPN的ACL規則下發VPC VSI子網路的路由
入埠/出埠規則 |
通訊協定 |
來源 IP |
來源埠 |
目的地 IP |
目的地埠 |
入埠 |
全部 |
VPN server client IP pool |
全部 |
VPN route destination CIDR |
全部 |
出埠 |
全部 |
VPN route destination CIDR |
全部 |
VPN server client IP pool |
全部 |
例如,如果您在佈建 VPN 伺服器時使用 172.16.0.0/20
作為用戶端 IP 儲存區,並且想要從 VPN 用戶端存取子網路 10.240.128.0/24
的資源,則需要建立目的地為 10.240.128.0/24
且動作為 deliver
的 VPN 路徑。 您也應該配置安全群組及 ACL 規則,如下所示:
VPN的安全群組規則在VPN伺服器上下發送路由
入埠/出埠規則 |
通訊協定 |
來源/目的地類型 |
來源 |
值 |
入埠 |
全部 |
CIDR 區塊 |
10.240.128.0/24 |
全部 |
出埠 |
全部 |
CIDR 區塊 |
10.240.128.0/24 |
全部 |
VPN 的 ACL 規則在 VPN 伺服器子網路上傳遞路由
入埠/出埠規則 |
通訊協定 |
來源 IP |
來源埠 |
目的地 IP |
目的地埠 |
入埠 |
全部 |
10.240.128.0/24 |
全部 |
172.16.0.0/20 |
全部 |
出埠 |
全部 |
172.16.0.0/20 |
全部 |
10.240.128.0/24 |
全部 |
VPN的安全群組規則在VPC VSI上下發路由
入埠/出埠規則 |
通訊協定 |
來源/目的地類型 |
來源 |
值 |
入埠 |
全部 |
CIDR 區塊 |
172.16.0.0/20 |
全部 |
出埠 |
全部 |
CIDR 區塊 |
172.16.0.0/20 |
全部 |
VPN的ACL規則下發VPC VSI子網路的路由
入埠/出埠規則 |
通訊協定 |
來源 IP |
來源埠 |
目的地 IP |
目的地埠 |
入埠 |
全部 |
172.16.0.0/20 |
全部 |
10.240.128.0/24 |
全部 |
出埠 |
全部 |
10.240.128.0/24 |
全部 |
172.16.0.0/20 |
全部 |
使用 translate
遞送動作的 VPN 資料流量規則
VPN 轉換路徑的規則幾乎與遞送路徑相同。 唯一的差異是封包的來源 IP 會轉換為 VPN 伺服器的專用 IP。 因此,您必須使用 VPN 伺服器的子網路,而非 VPN 伺服器的用戶端 IP 儲存區。
如果您在佈建 VPN 伺服器時選取多個子網路,則必須包括安全群組及 ACL 規則中的所有子網路。
VPN 伺服器上 VPN 轉換路由的安全群組規則
入埠/出埠規則 |
通訊協定 |
來源/目的地類型 |
來源 |
值 |
入埠 |
全部 |
CIDR 區塊 |
VPN route destination CIDR |
全部 |
出埠 |
全部 |
CIDR 區塊 |
VPN route destination CIDR |
全部 |
VPN 伺服器子網路上 VPN 轉換路由的 ACL 規則
入埠/出埠規則 |
通訊協定 |
來源 IP |
來源埠 |
目的地 IP |
目的地埠 |
入埠 |
全部 |
VPN route destination CIDR |
全部 |
VPN server subnet CIDR |
全部 |
出埠 |
全部 |
VPN server subnet CIDR |
全部 |
VPN route destination CIDR |
全部 |
通常,VPN 轉換路徑的目的地是 VPC 之外。 例如,假設您想要使用 VPN 伺服器來存取 IBM 標準基礎架構虛擬伺服器實例。 同時,您必須在目的地上配置防火牆規則,以從 VPN 用戶端解除封鎖資料流量。
例如,如果您在佈建 VPN 伺服器時使用子網路 10.240.64.0/24
及 10.240.129.0/24
,則 IBM 標準基礎架構中會有子網路 10.187.190.0/26
,且您想要從 VPN 用戶端存取標準虛擬伺服器實例。 然後,您必須建立具有目的地: 10.187.190.0/26
、動作: translate
的 VPN 路由,並配置安全群組及
ACL 規則,如下所示:
VPN 伺服器上 VPN 轉換路由的安全群組規則
入埠/出埠規則 |
通訊協定 |
來源/目的地類型 |
來源 |
值 |
入埠 |
全部 |
CIDR 區塊 |
10.187.190.0/26 |
全部 |
出埠 |
全部 |
CIDR 區塊 |
10.187.190.0/26 |
全部 |
VPN 伺服器子網路上 VPN 轉換路由的 ACL 規則
入埠/出埠規則 |
通訊協定 |
來源 IP |
來源埠 |
目的地 IP |
目的地埠 |
入埠 |
全部 |
10.187.190.0/26 |
全部 |
10.240.64.0/24 |
全部 |
入埠 |
全部 |
10.187.190.0/26 |
全部 |
10.240.129.0/24 |
全部 |
出埠 |
全部 |
10.240.64.0/24 |
全部 |
10.187.190.0/26 |
全部 |
出埠 |
全部 |
10.240.129.0/24 |
全部 |
10.187.190.0/26 |
全部 |
目標防火牆設備上 VPN 轉換路由的防火牆規則(選用)
入埠/出埠規則 |
通訊協定 |
來源 IP |
來源埠 |
目的地 IP |
目的地埠 |
入埠 |
全部 |
10.240.64.0/24 |
全部 |
10.187.190.0/26 |
全部 |
入埠 |
全部 |
10.240.129.0/24 |
全部 |
10.187.190.0/26 |
全部 |
出埠 |
全部 |
10.187.190.0/26 |
全部 |
10.240.64.0/24 |
全部 |
出埠 |
全部 |
10.187.190.0/26 |
全部 |
10.240.129.0/24 |
全部 |