¿Cómo permitir que la red VPN remota acceda solamente a un servidor local en específico?

 English

La VPN proporciona una conexión conveniente y segura entre la red local y la red remota. Una vez que la VPN está activa o arriba, la red remota puede acceder a todos los dispositivos en la red local y viceversa. Pero ¿qué ocurre si solo queremos que la red VPN remota acceda a un servidor en específico? Este documento demostrará cómo restringir a los usuarios de VPN remotos para que solo accedan a un servidor local en específico y no lleguen al resto de los dispositivos de red. Vigor Router puede hacerlo por VPN y por la regla de firewall (Firewall rule). A continuación, está el ejemplo:

Método 1: mediante las configuraciones de la VPN

1. En el perfil VPN LAN a LAN del Vigor router en la sucursal, cambie la IP de la red remota de toda la red a la IP del servidor solamente.

2. En el perfil VPN LAN a LAN del Vigor router en la oficina central, cambie el IP de red local de toda la red a la IP del servidor solamente.

 3. Cuando la VPN está activa o arriba, el router de la sucursal solo tendrá la ruta al servidor IP 192.168.188.10/32 para que los clientes en la sucursal solo puedan acceder al servidor y no puedan acceder a los demás.

Método 2: mediante la regla de firewall

1. Podríamos crear la regla de firewll (Firewall Rule) en el router de la oficina central para limitar la conexión desde la sucursal. Vaya a Objects Setting >> IP Object, haga clic en un índice disponible para crear un perfil de objeto IP (IP Object),

  1. Ingrese un nombre
  2. Seleccione "LAN/DMZ/RT/VPN" como Interface
  3. Seleccione Address Type como "Single" y luego ingrese la dirección IP del servidor 192.168.188.10
  4. Haga clic en OK para guardar

2. Haga clic en otro índice disponible para crear un perfil de objeto IP para la red VPN de la sucursal,

  1. Ingrese un nombre
  2. Seleccione "LAN/DMZ/RT/VPN" como Interface
  3. Seleccione "Subnet" como Address Type y luego ingrese la dirección IP 192.168.1.0 y la máscara de subred 255.255.255.0
  4. Haga clic en OK para guardar

3. Vaya a Firewall >> Filter Setup >> Default Data Filter, haga clic en un perfil disponible para crear un regla de firewall para pasar paquetes de la sucursal al servidor de la oficina central.

  1. Habilite (Enable) esta regla de firewall
  2. Ingrese el nombre del perfil
  3. Direction: LAN/DMZ/RT/VPN → LAN/DMZ/RT/VPN
  4. Source IP: seleccione el objeto IP que creamos para la red VPN de la sucursal
  5. Destination IP: seleccione el objeto IP que creamos para el servidor local
  6. Filter: Pass Immediately (Pasar inmediatamente)

 Nota: Podemos especificar el tipo de servicio aquí si solo queremos que el puerto de servicio específico sea accesado por la red VPN remota.

 

4. Haga clic en otro índice para crear una regla de filtro IP (IP Filter rule), el número de índice debe ser mayor que el que creamos en el paso 3, para bloquear los paquetes de la sucursal a la otra dirección IP.

  1. Habilite (Enable) esta regla de firewall
  2. Ingrese el nombre del perfil
  3. Direction: LAN/DMZ/RT/VPN → LAN/DMZ/RT/VPN
  4. Source IP: seleccione el objeto IP que creamos para la red VPN de la sucursal
  5. Destination IP: Any (Cualquiera)
  6. Filter: Block Immediately (Bloquear inmediatamente)

    5. Podemos verificar el registro del Firewall en Diagnostics >> Syslog Explorer para ver si el bloqueo fue exitoso.

Published On: Jan 16, 2018 


Was this helpful?