Удаленное управление только через VPN на TL-ER6020

У нас есть TL-ER6020, который мы настраиваем в режиме "не NAT" (сторона WAN находится в сети /30 и маршрутизирует сеть /29).

Я хочу иметь возможность "удаленного управления" маршрутизатором, но хочу, чтобы он не был доступен через HTTP со стороны глобальной сети.

На Cisco RV042 я настроил все так, чтобы я мог подключиться к маршрутизатору по протоколу PPTP и затем получить доступ к маршрутизатору через его внутренний IP-адрес. Однако на этом маршрутизаторе настроен NAT.

Как правильно решить эту проблему?

Источник

2 ответа

Из ваших заявлений я понимаю, что как внутренние, так и глобальные сети используют общедоступную IP-адресацию (из-за отсутствия NAT от внутреннего к глобальной сети).

Теперь, поскольку вы говорите о внутренней сети как о защищенной сети, я предполагаю, что TL-ER6020 запрещает / блокирует весь трафик от глобальной сети до внутренней, и, возможно, он разрешает соединения через глобальную сеть, если они инициированы в внутренняя сеть.

Сказав это, это некоторые обычно используемые подходы:

  1. Безопасное прямое дистанционное управление: для этого вам необходимо:

    1. Используйте только безопасные протоколы (HTTP, SSH и т. Д.)
    2. Заблокируйте все соединения от WAN до TL-ER6020, кроме протокола безопасного управления
    3. Ограничить исходный IP/ с разрешено подключение
    4. Используйте очень строгий механизм аутентификации (например, с SSH вы должны использовать ключ аутентификации RSA, а не пароль / фразу-пароль)

    Если вы подключаетесь к удаленному устройству из сети со статическим IP-адресом и ваше устройство поддерживает эти функции, это реальное решение. К сожалению, TL-ER6020, похоже, не в состоянии это сделать.

  2. Сокращение Поверхности Атаки, ограничивая удаленное подключение только услугой VPN. Стоит отметить, что даже блокировка устройства, за исключением SSH, например, уменьшает поверхность атаки. Основными преимуществами подхода VPN являются:

    1. VPN-серверы / демоны / службы считаются более безопасными и отказоустойчивыми, чем большинство других служб удаленного доступа (наглядным примером является Telnet). В любом случае, хорошая реализация SSH или SSL также будет сильной.
    2. На самом деле вы можете уменьшить поверхность атаки, когда разрешаете несколько служб: например, если вы разрешите FTP, HTTP и SSH через VPN, вы предоставите Интернету только услугу VPN, эффективно уменьшая количество компонентов, которые вам необходимо поддерживать.

Возвращаясь к вашей реальной ситуации, учитывая, что вариант 1 не подходит для вашего устройства, вы можете пойти на VPN.

Ссылаясь на "На Cisco RV042 я настроил все так, чтобы я мог подключиться к маршрутизатору по протоколу PPTP и затем получить доступ к маршрутизатору через его внутренний IP-адрес. Однако для этого маршрутизатора настроен NAT", если предположения о вашем дизайне правильно, вам просто нужно запустить VPN-подключение и затем получить доступ к внутреннему общедоступному IP-адресу самого маршрутизатора. Другими словами, отсутствие NAT будет означать, что вам придется иметь дело с реальными (возможно, общедоступными) IP-адресами, которые вы назначили своей внутренней сети.

Источник

Если у вас есть доступ к брандмауэру внутри маршрутизатора, я бы запретил HTTP-пакеты, поступающие из интерфейса WAN.

Если HTTP принимается изнутри, тогда с vpn это просто вопрос подключения к vpn, а затем к удаленному доступу.

Источник
Другие вопросы по тегам