リモートアクセスVPN接続した端末のアクセスを制御する
先日の記事で、リモートアクセスVPNで接続した後は、拠点間VPNで接続している他拠点にもアクセス可能であるということをご紹介しました。
これはこれで利便性が高いとも言えますが、場合によっては、セキュリティ上あまりよろしくないという見方もあります。
アクセスできる範囲は、リモートアクセスVPNで接続した拠点のみにし、他拠点へのアクセスは禁止したい場合、どのような設定にしたら良いでしょうか?
ヤマハルーターを使ってVPN環境を構築した場合で、設定例をご紹介しようと思います。検証環境は以下の図ようになります。
通信を許可するか拒否するかの設定になるので、フィルター設定を使うことにします。
そして、リモートアクセスVPNしてきた端末をフィルター設定しやすいように、リモートアクセスVPNに割りふるIPアドレスを、RTXのLAN側IPアドレスと別のものにします。
まず
show config pp anonymous
コマンドで、設定を確認します。
ip pp remote address pool dhcp
とあり、リモートアクセスVPN接続端末には、DHCPでIPアドレスを割り振る設定になっています。
これを
pp select anonymous
ip pp remote address pool 172.16.1.1-172.16.1.10
と書き変えます。
こう書き変えることで、リモートアクセスVPN接続端末には、
172.16.1.1~172.16.1.10
の範囲でIPアドレスが割り振られることになります。
この配布アドレスの設定は、残念ながらWebGUI画面では出来ません。
コマンドで設定する必要があります。
ヤマハルーターを扱うエンジニアの方は、是非、コマンドをマスターしましょう。お勧めのUdemyオンライン講座があります。
リモートアクセスVPN接続端末に、172.16.1.1などが割り当たりますが、
IPアドレスを変更しても、変更前と同じように各拠点にアクセス可能です。
さらに、フィルター設定が必要になります。
【詳細設定】タブ⇒【セキュリティー IPフィルター】にて、
他拠点とのトンネル設定に該当するインターフェースの確認ボタンを押します。
【一覧表示の切り替え】にて、【送信方向のフィルターを表示】を選択します。※重要!ここが受信方向で設定してしまうと意味がないです。
静的フィルターの編集ボタンを押し
【タイプ】を【reject(ログあり)】
【送信元アドレス】を172.16.1.0/24
と設定し、確認ボタンを押します。
続けて、静的フィルターの編集ボタンを押し、
【タイプ】を【pass】にして確認ボタンを押します。
追加した2つのフィルターを選び、適用フィルターに追加ボタンを押し追加します。
適用フィルターに追加された時、reject設定されたフィルターの方が、評価順が高いことを確認して確認ボタンを押します。
フィルターは、評価順に評価されていきますので、順番が重要です。
また、reject(拒否する)フィルターを適用しただけだと、他の通信も通過できなくなるので、すべてpassのフィルターを追加しています。
フィルターについて詳しくは以下の記事をご覧ください。
この設定で、リモートアクセスVPNでつなげた拠点へのアクセスは可能。
他拠点へのアクセスは不可が実現できます。
検証環境の192.168.200.0のネットワークにアクセスしようとすると、
フィルターにより通信はブロックされ、以下のようにログに出力されます。
先ほど設定したフィルター401100でReject(ブロック)されていることがわかります。
この記事を動画にしたものは、コチラ
実際の設定操作も確認できます。
ヤマハルーターのフィルタ設定についてさらに詳しく勉強されたいかたは以下の記事もご覧ください。
この記事が気に入ったらサポートをしてみませんか?