Cliente VPN que se conecta a un servidor VPN interno a través de un USG NAT

120 0 0 0

Una muy buena idea para proteger los recursos de su red interna es utilizar un firewall como puerta de enlace de la red para que todos los flujos de tráfico se verifiquen y se controlen de cerca independientemente de la dirección.

A continuación presentaré tal caso. El servidor de seguridad considerado para el ejemplo es un USG 5500 que sirve como una red y una puerta de enlace NAT para la red. Los recursos internos consisten en servidores web y de directorio y el servidor VPN para los clientes externos. Para aclarar las cosas, consulte la siguiente topología:

 

163206qx433gbsozo43ooo.jpg

 

En este escenario, un usuario debe primero conectarse al servidor VPN interno antes de poder acceder a los recursos de la red interna.

  Los problemas aparecen después de que el usuario establece el túnel VPN con el servidor VPN porque, por alguna razón, el usuario tiene conectividad con el servidor VPN (obviamente) y con el firewall fuera y dentro de las interfaces, pero no tiene conectividad con los otros recursos internos. Después de notar este problema, realicé una serie de pruebas y descubrí que, de hecho, puedo hacer ping desde un servidor web interno al cliente VPN, pero no al revés.

El punto que debe considerarse en este momento es que el usuario de VPN tiene una dirección IP pública y esta dirección la traduce la puerta de enlace NAT para cada comunicación con el servidor VPN.

En el primer ejemplo, cuando hago ping desde un servidor web (interno) a los flujos de tráfico del cliente VPN (externo), así:

  • Los paquetes con la dirección de destino pública se reenviarán a la USG (puerta de enlace) porque no están en la misma subred

  • Cuando los paquetes lleguen al firewall, se creará una entrada en la tabla de sesión y los reenviará al servidor VPN de acuerdo con la información de enrutamiento instalada

  • Una vez que llegue al servidor VPN, los paquetes se encapsularán utilizando la información de VPN y se reenviarán a la puerta de enlace para enviarlos fuera de la red

  • Los paquetes de respuesta, debido a la dirección IP privada de destino, se reenviarán dentro de la red interna mediante el reenvío L2 para que la comunicación sea exitosa

Cuando probé el tráfico en la dirección opuesta (VPN server Servidor interno) el flujo es diferente:

  • Los paquetes con información de VPN se reciben del cliente y se envían al servidor VPN.

  • El servidor VPN reenviará estos paquetes, después de la des encapsulación (eliminación de la información de VPN), al conmutador de acceso

  • El conmutador de acceso reenviará estos paquetes al servidor web mediante el reenvío L2 porque la dirección de destino está en la red local

 

Aparecen problemas para los paquetes de devolución.

Debido a que el destino de los paquetes de respuesta (servidor web  à Cliente VPN) es una dirección IP pública que no pertenece a la subred interna que se reenviará a USG

El USG verificará la tabla de sesión del cortafuegos y, como no hay entrada de sesión para este grupo de direcciones, los paquetes de respuesta se considerarán parte de un ataque y se eliminarán, por lo que la comunicación falla en esta dirección.

Para este tipo de situación, la solución es deshabilitar la función de verificación de enlace del firewall para hacer posible el reenvío de paquetes de respuesta sin una entrada válida de sesión. Para esto puede usar el comando: deshacer firewall link-state check.

Para obtener una descripción más detallada de este comando, lea la información a continuación:

 

Sesión de firewall link-state:

Función

Usando el comando Sesión de firewall link-state, puede habilitar la función de verificar el estado del enlace de las sesiones.

Al usar el comando undo firewall session link-state, puede desactivar la función de verificar el estado del enlace de las sesiones.

Formato:

firewall ipv6 session link-state check

undo firewall ipv6 session link-state check

firewall session link-state check [ icmp | tcp ]

undo firewall session link-state check [ icmp | tcp ]

 

Parametros

 

Parameter

Description

Value

icmp

Indicates the ICMP session link status check.

-

tcp

Indicates the TCP session link status check.

-

Vista

System view

Nivel pro default

 

Nivel de configuracion

 

Pautas de uso

De manera predeterminada, el mecanismo de verificación de estado está habilitado en la serie USG y está deshabilitado en la serie USG BSR / HSR. en el dispositivo Debe habilitar o deshabilitar el mecanismo de verificación de estado según sea necesario.

Para IPv6, de forma predeterminada, el mecanismo de verificación de estado está habilitado en el dispositivo.

Cuando la ruta de entrada no es consistente con la ruta de salida, el paquete puede ser descartado porque la tabla de la sesión no coincide. Puede ejecutar el comando de comprobación del estado de enlace de la sesión del servidor de seguridad para cancelar la detección del estado de la sesión.

Ejemplo:

# Disable the function of checking the status of the TCP sessions.

<sysname> system-view

[sysname] undo firewall session link-state check tcp

 

 

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión