IBM Cloud Docs
配置安全群組及 ACL 以與 VPN 伺服器搭配使用

配置安全群組及 ACL 以與 VPN 伺服器搭配使用

安全群組及存取控制清單 (ACL) 可以配置在已部署 VPN 伺服器的 VPN 伺服器子網路上,以及透過 VPN 通道進行通訊的其他 VPC 子網路上。

如果您在 VPN 伺服器子網路上配置安全群組及 ACL,請確定下列規則已備妥,以容許 VPN 通道資料流量。 如需相關資訊,請參閱 關於安全群組設定網路 ACL

如果您在佈建 VPN 伺服器時未指定安全群組,則 VPC 的預設安全群組會連接至 VPN 伺服器。 在佈建伺服器之後,您可以將其他安全群組連接至 VPN 伺服器。

VPN 通訊協定資料流量的規則

VPN 伺服器可以在 TCP 或 UDP 通訊協定上執行。 您可以在佈建 VPN 伺服器時指定通訊協定及埠。 您必須使用安全群組規則及 ACL 開啟對應的通訊協定及埠。

VPN 伺服器的安全群組規則
入埠/出埠規則 通訊協定 來源/目的地類型 來源
入埠 VPN server protocol CIDR 區塊 0.0.0.0/0 VPN server port
出埠 VPN server protocol CIDR 區塊 0.0.0.0/0 VPN server port
VPN 伺服器的 ACL 規則
入埠/出埠規則 通訊協定 來源 IP 來源埠 目的地 IP 目的地埠
入埠 VPN server protocol 全部 全部 VPN server subnet VPN server port
出埠 VPN server protocol VPN server subnet VPN server port 全部 全部

例如,依預設,VPN 伺服器會在 UDP 埠 443 上執行,因此您應該配置安全群組及 ACL 規則,如下所示:

預設協定和連接埠的VPN伺服器安全群組規則配置訊息
入埠/出埠規則 通訊協定 來源/目的地類型 來源
入埠 UDP CIDR 區塊 0.0.0.0/0 443
出埠 UDP CIDR 區塊 0.0.0.0/0 443
具有預設協定和連接埠的 VPN 伺服器的 ACL 設定訊息
入埠/出埠規則 通訊協定 來源 IP 來源埠 目的地 IP 目的地埠
入埠 UDP 全部 全部 VPN server subnet 443
出埠 UDP VPN server subnet 443 全部 全部

使用 deliver 遞送動作的 VPN 資料流量規則

當用戶端連接至 VPN 伺服器時,依預設,VPN 伺服器會捨棄來自用戶端的所有資料流量。 您必須在 VPN 伺服器上配置 VPN 路由,以容許此資料流量。 路徑的動作可以是 delivertranslate

  • 當動作為 deliver 時,在從通道解密封包之後,會直接轉遞封包,因此封包的來源 IP 是來自用戶端 IP 儲存區的 VPN 用戶端 IP。
  • 當動作為 translate 時,從通道解密封包之後,會將封包的來源 IP 轉換為 VPN 伺服器的專用 IP,然後傳送封包。

請注意,當您建立安全群組及 ACL 規則時,應該指定哪些 CIDR。

VPN的安全群組規則在VPN伺服器上下發送路由
入埠/出埠規則 通訊協定 來源/目的地類型 來源
入埠 全部 CIDR 區塊 VPN route destination CIDR 全部
出埠 全部 CIDR 區塊 VPN route destination CIDR 全部
VPN 的 ACL 規則在 VPN 伺服器子網路上傳遞路由
入埠/出埠規則 通訊協定 來源 IP 來源埠 目的地 IP 目的地埠
入埠 全部 VPN route destination CIDR 全部 VPN server client IP pool 全部
出埠 全部 VPN server client IP pool 全部 VPN route destination CIDR 全部

同時,您需要在 VPC VSI 上配置安全群組及 ACL,以解除封鎖來自 VPN 用戶端的資料流量:

VPN的安全群組規則在VPC VSI上下發路由
入埠/出埠規則 通訊協定 來源/目的地類型 來源
入埠 全部 CIDR 區塊 VPN server client IP pool 全部
出埠 全部 CIDR 區塊 VPN server client IP pool 全部
VPN的ACL規則下發VPC VSI子網路的路由
入埠/出埠規則 通訊協定 來源 IP 來源埠 目的地 IP 目的地埠
入埠 全部 VPN server client IP pool 全部 VPN route destination CIDR 全部
出埠 全部 VPN route destination CIDR 全部 VPN server client IP pool 全部

例如,如果您在佈建 VPN 伺服器時使用 172.16.0.0/20 作為用戶端 IP 儲存區,並且想要從 VPN 用戶端存取子網路 10.240.128.0/24 的資源,則需要建立目的地為 10.240.128.0/24 且動作為 deliver 的 VPN 路徑。 您也應該配置安全群組及 ACL 規則,如下所示:

VPN的安全群組規則在VPN伺服器上下發送路由
入埠/出埠規則 通訊協定 來源/目的地類型 來源
入埠 全部 CIDR 區塊 10.240.128.0/24 全部
出埠 全部 CIDR 區塊 10.240.128.0/24 全部
VPN 的 ACL 規則在 VPN 伺服器子網路上傳遞路由
入埠/出埠規則 通訊協定 來源 IP 來源埠 目的地 IP 目的地埠
入埠 全部 10.240.128.0/24 全部 172.16.0.0/20 全部
出埠 全部 172.16.0.0/20 全部 10.240.128.0/24 全部
VPN的安全群組規則在VPC VSI上下發路由
入埠/出埠規則 通訊協定 來源/目的地類型 來源
入埠 全部 CIDR 區塊 172.16.0.0/20 全部
出埠 全部 CIDR 區塊 172.16.0.0/20 全部
VPN的ACL規則下發VPC VSI子網路的路由
入埠/出埠規則 通訊協定 來源 IP 來源埠 目的地 IP 目的地埠
入埠 全部 172.16.0.0/20 全部 10.240.128.0/24 全部
出埠 全部 10.240.128.0/24 全部 172.16.0.0/20 全部

使用 translate 遞送動作的 VPN 資料流量規則

VPN 轉換路徑的規則幾乎與遞送路徑相同。 唯一的差異是封包的來源 IP 會轉換為 VPN 伺服器的專用 IP。 因此,您必須使用 VPN 伺服器的子網路,而非 VPN 伺服器的用戶端 IP 儲存區。

如果您在佈建 VPN 伺服器時選取多個子網路,則必須包括安全群組及 ACL 規則中的所有子網路。

VPN 伺服器上 VPN 轉換路由的安全群組規則
入埠/出埠規則 通訊協定 來源/目的地類型 來源
入埠 全部 CIDR 區塊 VPN route destination CIDR 全部
出埠 全部 CIDR 區塊 VPN route destination CIDR 全部
VPN 伺服器子網路上 VPN 轉換路由的 ACL 規則
入埠/出埠規則 通訊協定 來源 IP 來源埠 目的地 IP 目的地埠
入埠 全部 VPN route destination CIDR 全部 VPN server subnet CIDR 全部
出埠 全部 VPN server subnet CIDR 全部 VPN route destination CIDR 全部

通常,VPN 轉換路徑的目的地是 VPC 之外。 例如,假設您想要使用 VPN 伺服器來存取 IBM 標準基礎架構虛擬伺服器實例。 同時,您必須在目的地上配置防火牆規則,以從 VPN 用戶端解除封鎖資料流量。

例如,如果您在佈建 VPN 伺服器時使用子網路 10.240.64.0/2410.240.129.0/24,則 IBM 標準基礎架構中會有子網路 10.187.190.0/26,且您想要從 VPN 用戶端存取標準虛擬伺服器實例。 然後,您必須建立具有目的地: 10.187.190.0/26、動作: translate 的 VPN 路由,並配置安全群組及 ACL 規則,如下所示:

VPN 伺服器上 VPN 轉換路由的安全群組規則
入埠/出埠規則 通訊協定 來源/目的地類型 來源
入埠 全部 CIDR 區塊 10.187.190.0/26 全部
出埠 全部 CIDR 區塊 10.187.190.0/26 全部
VPN 伺服器子網路上 VPN 轉換路由的 ACL 規則
入埠/出埠規則 通訊協定 來源 IP 來源埠 目的地 IP 目的地埠
入埠 全部 10.187.190.0/26 全部 10.240.64.0/24 全部
入埠 全部 10.187.190.0/26 全部 10.240.129.0/24 全部
出埠 全部 10.240.64.0/24 全部 10.187.190.0/26 全部
出埠 全部 10.240.129.0/24 全部 10.187.190.0/26 全部
目標防火牆設備上 VPN 轉換路由的防火牆規則(選用)
入埠/出埠規則 通訊協定 來源 IP 來源埠 目的地 IP 目的地埠
入埠 全部 10.240.64.0/24 全部 10.187.190.0/26 全部
入埠 全部 10.240.129.0/24 全部 10.187.190.0/26 全部
出埠 全部 10.187.190.0/26 全部 10.240.64.0/24 全部
出埠 全部 10.187.190.0/26 全部 10.240.129.0/24 全部