IBM Cloud Docs
設定與 VPN 伺服器搭配使用的安全群組和 NACL

設定與 VPN 伺服器搭配使用的安全群組和 NACL

安全群組和網路存取控制清單 (NACL) 可以設定在部署 VPN 伺服器的 VPN 子網路上,以及透過 VPN 通道通訊的其他 VPC 子網路上。

如果您在 VPN 伺服器的子網路上設定安全群組和 NACL,請確定以下規則已就位,以允許 VPN 通道流量。 如需相關資訊,請參閱 關於安全群組設定網路 ACL

如果您在佈建 VPN 伺服器時未指定安全群組,則 VPC 的預設安全群組會連接至 VPN 伺服器。 在佈建伺服器之後,您可以將其他安全群組連接至 VPN 伺服器。

VPN 通訊協定資料流量的規則

VPN 伺服器可以在 TCP 或 UDP 通訊協定上執行。 您可以在佈建 VPN 伺服器時指定通訊協定及埠。 您必須使用安全群組規則和 NACL 開啟對應的通訊協定和連接埠。

VPN 伺服器的安全群組規則
入埠/出埠規則 通訊協定 來源/目的地類型 來源
入埠 VPN server protocol CIDR 區塊 0.0.0.0/0 VPN server port
出埠 VPN server protocol CIDR 區塊 0.0.0.0/0 VPN server port
VPN 伺服器的 NACL 規則
入埠/出埠規則 通訊協定 來源 IP 來源埠 目的地 IP 目的地埠
入埠 VPN server protocol 全部 全部 VPN server subnet VPN server port
出埠 VPN server protocol VPN server subnet VPN server port 全部 全部

例如,預設情況下,VPN 伺服器在 UDP 連接埠 443 上執行,因此您應該設定安全群組和 NACL 規則如下:

預設協定和連接埠的VPN伺服器安全群組規則配置訊息
入埠/出埠規則 通訊協定 來源/目的地類型 來源
入埠 UDP CIDR 區塊 0.0.0.0/0 443
出埠 UDP CIDR 區塊 0.0.0.0/0 443
具有預設通訊協定和連接埠的 VPN 伺服器 NACL 的設定資訊
入埠/出埠規則 通訊協定 來源 IP 來源埠 目的地 IP 目的地埠
入埠 UDP 全部 全部 VPN server subnet 443
出埠 UDP VPN server subnet 443 全部 全部

使用 deliver 遞送動作的 VPN 資料流量規則

當用戶端連接至 VPN 伺服器時,依預設,VPN 伺服器會捨棄來自用戶端的所有資料流量。 您必須在 VPN 伺服器上配置 VPN 路由,以容許此資料流量。 路由的動作可以是 delivertranslate

  • 當動作為 deliver 時,在從通道解密封包之後,會直接轉遞封包,因此封包的來源 IP 是來自用戶端 IP 儲存區的 VPN 用戶端 IP。
  • 當動作為 translate 時,從通道解密封包之後,會將封包的來源 IP 轉換為 VPN 伺服器的專用 IP,然後傳送封包。

請注意在建立安全群組和 NACL 規則時,應該指定哪個 CIDR。

VPN的安全群組規則在VPN伺服器上下發送路由
入埠/出埠規則 通訊協定 來源/目的地類型 來源
入埠 全部 CIDR 區塊 VPN route destination CIDR 全部
出埠 全部 CIDR 區塊 VPN route destination CIDR 全部
VPN 伺服器子網路上 VPN 傳送路由的 NACL 規則
入埠/出埠規則 通訊協定 來源 IP 來源埠 目的地 IP 目的地埠
入埠 全部 VPN route destination CIDR 全部 VPN server client IP pool 全部
出埠 全部 VPN server client IP pool 全部 VPN route destination CIDR 全部

同時,您需要在 VPC 虛擬伺服器上設定安全群組和 NACL,以解除 VPN 用戶端的流量封鎖:

VPC 虛擬伺服器介面上 VPN 傳送路由的安全群組規則
入埠/出埠規則 通訊協定 來源/目的地類型 來源
入埠 全部 CIDR 區塊 VPN server client IP pool 全部
出埠 全部 CIDR 區塊 VPN server client IP pool 全部
VPC 虛擬伺服器子網路上 VPN 傳送路由的 NACL 規則
入埠/出埠規則 通訊協定 來源 IP 來源埠 目的地 IP 目的地埠
入埠 全部 VPN server client IP pool 全部 VPN route destination CIDR 全部
出埠 全部 VPN route destination CIDR 全部 VPN server client IP pool 全部

例如,如果您在佈建 VPN 伺服器時使用 172.16.0.0/20 作為用戶端 IP 儲存區,並且想要從 VPN 用戶端存取子網路 10.240.128.0/24 的資源,則需要建立目的地為 10.240.128.0/24 且動作為 deliver 的 VPN 路徑。 您也應該設定安全群組和 NACL 規則如下:

VPN的安全群組規則在VPN伺服器上下發送路由
入埠/出埠規則 通訊協定 來源/目的地類型 來源
入埠 全部 CIDR 區塊 10.240.128.0/24 全部
出埠 全部 CIDR 區塊 10.240.128.0/24 全部
VPN 伺服器子網路上 VPN 傳送路由的 NACL 規則
入埠/出埠規則 通訊協定 來源 IP 來源埠 目的地 IP 目的地埠
入埠 全部 10.240.128.0/24 全部 172.16.0.0/20 全部
出埠 全部 172.16.0.0/20 全部 10.240.128.0/24 全部
VPC 虛擬伺服器上 VPN 傳送路由的安全群組規則
入埠/出埠規則 通訊協定 來源/目的地類型 來源
入埠 全部 CIDR 區塊 172.16.0.0/20 全部
出埠 全部 CIDR 區塊 172.16.0.0/20 全部
VPC 虛擬伺服器子網路上 VPN 傳送路由的 NACL 規則
入埠/出埠規則 通訊協定 來源 IP 來源埠 目的地 IP 目的地埠
入埠 全部 172.16.0.0/20 全部 10.240.128.0/24 全部
出埠 全部 10.240.128.0/24 全部 172.16.0.0/20 全部

使用 translate 遞送動作的 VPN 資料流量規則

VPN 轉換路徑的規則幾乎與遞送路徑相同。 唯一的差異是封包的來源 IP 會轉換為 VPN 伺服器的專用 IP。 因此,您必須使用 VPN 伺服器的子網路,而非 VPN 伺服器的用戶端 IP 儲存區。

如果在配置 VPN 伺服器時選擇多個子網路,則必須在安全群組和 NACL 規則中包含所有子網路。

VPN 伺服器上 VPN 轉換路由的安全群組規則
入埠/出埠規則 通訊協定 來源/目的地類型 來源
入埠 全部 CIDR 區塊 VPN route destination CIDR 全部
出埠 全部 CIDR 區塊 VPN route destination CIDR 全部
VPN 伺服器子網路上 VPN 轉譯路由的 NACL 規則
入埠/出埠規則 通訊協定 來源 IP 來源埠 目的地 IP 目的地埠
入埠 全部 VPN route destination CIDR 全部 VPN server subnet CIDR 全部
出埠 全部 VPN server subnet CIDR 全部 VPN route destination CIDR 全部

通常,VPN 轉換路徑的目的地是 VPC 之外。 例如,假設您想要使用 VPN 伺服器來存取 IBM 標準基礎架構虛擬伺服器實例。 同時,您必須在目的地上配置防火牆規則,以從 VPN 用戶端解除封鎖資料流量。

例如,如果您在佈建 VPN 伺服器時使用子網路 10.240.64.0/2410.240.129.0/24,則 IBM 標準基礎架構中會有子網路 10.187.190.0/26,且您想要從 VPN 用戶端存取標準虛擬伺服器實例。 然後,您必須建立一個 VPN 路由,目的地為:10.187.190.0/26,動作:translate,並配置安全群組和 NACL 規則如下:

VPN 伺服器上 VPN 轉換路由的安全群組規則
入埠/出埠規則 通訊協定 來源/目的地類型 來源
入埠 全部 CIDR 區塊 10.187.190.0/26 全部
出埠 全部 CIDR 區塊 10.187.190.0/26 全部
VPN 伺服器子網路上 VPN 轉譯路由的 NACL 規則
入埠/出埠規則 通訊協定 來源 IP 來源埠 目的地 IP 目的地埠
入埠 全部 10.187.190.0/26 全部 10.240.64.0/24 全部
入埠 全部 10.187.190.0/26 全部 10.240.129.0/24 全部
出埠 全部 10.240.64.0/24 全部 10.187.190.0/26 全部
出埠 全部 10.240.129.0/24 全部 10.187.190.0/26 全部
目標防火牆設備上 VPN 轉換路由的防火牆規則(選用)
入埠/出埠規則 通訊協定 來源 IP 來源埠 目的地 IP 目的地埠
入埠 全部 10.240.64.0/24 全部 10.187.190.0/26 全部
入埠 全部 10.240.129.0/24 全部 10.187.190.0/26 全部
出埠 全部 10.187.190.0/26 全部 10.240.64.0/24 全部
出埠 全部 10.187.190.0/26 全部 10.240.129.0/24 全部