iT邦幫忙

1

請問如何VPN進來不帶防火牆IP

因為疫情關係,公司有一台跳板Server(e.q. 192.168.1.234)最近拿來使用
而主管基於資安想要限制admin管理的interface只能從公司內部或播VPN連進去
對外讓user還是可以從家裡的Public Ip去使用
現在Server可以做network restrictions來排除內部以外的IP
但現在的重點是只有內部的IP認得了
其餘外部直接連線或VPN進來都還是認成192.168.1.254(fortigate防火牆IP)
我開了原廠的ticket,經過一番研究認為大機率是NAT的問題
但主管不想要從NAT的角度去解決,想要找有什麼方法VPN進來不帶防火牆
如果是外部就算了,照理說VPN(10.0.0.1)進來應該會是公司內部環境的IP是要認得到的?
因為真的研究了很長一段時間了,實在沒辦法上來求救

1
cmwang
iT邦大師 1 級 ‧ 2021-06-17 15:53:07

FW forwarding時做了SNAT,那後面的設備看到的Src IP自然就是FW的IP,不從NAT下手,不然要後面的設備發正念去猜真正的來源IP嗎/images/emoticon/emoticon16.gif....

https://ithelp.ithome.com.tw/upload/images/20210617/20004868m0RZebuKon.jpg

看更多先前的回應...收起先前的回應...
hsiang11 iT邦好手 1 級 ‧ 2021-06-17 16:00:49 檢舉

對阿 請主管先搞懂NAT之後會發生什麼事吧
網路不是亂來的
他在不清楚就找個SI廠商進來一起唬爛

這個VPN設定NAT是有打開的
另外想請教的部分是VPN撥進去的是10.x.x.x/32
這邊跳板ServeR應該是要能夠知道VPN連線過去的IP
但卻依然顯示防火牆的IP(192.168.1.254
是否也是跟VPN的設定有關

cmwang iT邦大師 1 級 ‧ 2021-06-17 16:25:30 檢舉

就是因為打開了,所以server看到的IP才會是FW的IP啊,您要做的是把NAT關掉,然後確定VPN client經由FW走到server間的路徑上ACL/routing是不是都config好了,試一下就知道了/images/emoticon/emoticon16.gif....

可是關掉NAT請問這樣是否會影響VPN連線到內網的功能?
是否是因為SSL VPN可以直接穿透FW,而IPSec要開NAT才能

cmwang iT邦大師 1 級 ‧ 2021-06-17 21:35:59 檢舉

這跟IPsec或SSL VPN無關,也跟NAT無關,FW本來就可以作routing,能不能過FW是看ACL和routing怎麼設,和NAT沒有必然的關係----既然開了SNAT,Src IP自然就是FW的IP,那您怎能指望server會知道client真正的IP呢(嚴格來說不是完全沒辦法,只要除了標準的IP header外,client把自己的IP塞在payload裡就不會被SNAT改寫到,server也就可以知道client的IP,問題是一般應用層不會幹這種事,所以鵝假設貴公司也沒人會處理這塊事)....

感謝指教

0
cara0124
iT邦見習生 ‧ 2021-06-17 20:27:57

也有類似困擾...研究很就完全沒有頭緒

0
CyberSerge
iT邦好手 1 級 ‧ 2021-06-17 20:39:48

跳板Server怎麼會對外讓user還是可以從家裡的Public Ip去使用,照您所說應該限制只能從公司內部或VPN連結才對呀~

因為也有USER的使用需求,管理的話只有限制管理員要從內部
目前卡在不曉得SSL VPN關NAT會不會造成不能連到內網
如果貿然關結果不能連就要跑一趟公司了..

1
mytiny
iT邦大師 1 級 ‧ 2021-06-18 13:14:33

樓主應該先搞清NAT的作用
然後SSLVPN登入都是有帳號 (ID) 的
一樣可以拿來做識別
如果怕帳密外洩,請加用FortiToken
使用2FA做OTP,可以確保身分

貴司都可以開原廠Ticket了
應該請SI給您做技術支援才是
好好說明一下SSLVPN的運作與設定
如果關了NAT會不通內網,表示有設定不對的地方
但只要再打開一次不就可以恢復
根本不需要跑回公司一趟

我要發表回答

立即登入回答