In una VPN LAN-to-LAN un sito può essere completamente isolato dall'altro?

Naviga le tue risposte
2

In un'impostazione VPN LAN-to-LAN, è possibile isolare un sito dall'altro?

So che possiamo usare un firewall ma questo ci obbliga a gestire regole specifiche nel firewall. Vorrei ridurre il carico di lavoro della gestione. Pensi che un firewall sarebbe la soluzione migliore?

Pensiamo che una VPN LAN-to-LAN sia la soluzione migliore ma forse no. È necessario connettersi a un server IaaS del cloud tramite Internet ma:

  • Vogliamo che la comunicazione sia sempre crittografata, probabilmente usando protocolli non crittografati
  • Vogliamo che alcuni servizi nel server siano disponibile solo per i nostri IP

In altre parole, non vogliamo che la LAN remota abbia accesso completo alla LAN locale ... l'impostazione che stiamo cercando è simile alla navigazione su Internet: le macchine locali escono da Internet usando lo stesso IP pubblico e da Internet non è possibile avviare una connessione a una macchina interna perché hanno indirizzi IP locali che non sono indirizzabili da Internet. In questo modo, le macchine locali sono isolate da Internet perché le porte di inoltro NAT e non esistenti.

    
posta Eloy Roldán Paredes 06.11.2015 - 10:41
fonte

1 risposta

2

Una connessione VPN LAN-to-LAN è solo un ponte tra due reti remote. Puoi pensarci come un cavo.

In cima a quel cavo, i router VPN di solito forniscono un gateway all'altra rete. Senza questo gateway, il traffico non potrebbe andare anche se i pacchetti da una rete non saprebbero come raggiungere l'altra rete. Si riflette nelle tabelle di routing dei dispositivi in ciascuna delle reti.

Quindi ora hai fondamentalmente un'estensione aperta di una rete nell'altra. Ogni dispositivo su una rete può raggiungere ogni dispositivo sull'altro.

Ma non è quello che volevi: volevi limitare questo traffico. Pertanto è necessario disporre di una sorta di filtro che consentirà alcuni pacchetti e non alcuni altri, in base ad alcune regole. Questo può essere fatto da un firewall o puoi controllare se il tuo gateway VPN non fornisce tale funzionalità (cerca "firewall" o "ACL" nella documentazione).

Puoi modellare ulteriormente il traffico nel modo desiderato, incluso NAT (su entrambi i lati se necessario, per riprodurre lo scenario Internet che hai menzionato).

Il punto chiave qui è che l'installazione VPN non offre (al suo utilizzo principale) nient'altro che un livello di comunicazione protetto tra due reti.

    
risposta data 06.11.2015 - 14:17
fonte

Leggi altre domande sui tag

TrustManager PKIX (o RFC 3280 / X.509) controlla realmente la data di scadenza del certificato client? Correzione perdita DNS - proxy trasparente