Назад | Перейти на главную страницу

Межсетевой экран «Безопасность подключения» при отсутствии доверия и NAT между двумя компьютерами.

Сначала небольшое объяснение топологии моей сети.

У меня есть внутренний домен и пограничный сетевой домен. Между двумя доменами нет доверия (и ИТ-специалисты не позволят установить одностороннее доверие между внутренним и пограничным сетевым доменом)

При прохождении через маршрутизатор он будет преобразовывать трафик в граничную сеть. Итак, весь трафик dmzHost.edgeNetwork.local видит, что он не исходил из собственной подсети, по-видимому, будет иметь исходный IP-адрес 192.168.10.10. Интересно, что любой трафик, идущий из подсети 192.168.10.0/24, не будет преобразован через NAT при подключении к компьютеру в подсети 10.0.0.0/8 (я отправил электронное письмо в ИТ-отдел с вопросом, почему это так, поскольку я не понимаю преимущества NAT к пограничной сети, но открытый доступ из пограничной сети. Я мог видеть причину 10.x -> 192.x = NAT и 192.x -> 10.x = Dropped connection но меня смущает то, что они позволяют подключение через)

Я хочу отключить брандмауэр на любом авторизованном компьютере, чтобы он мог удаленно управлять. Метод, который я пытался сделать, был

  1. На dmzHost создайте запись правил безопасности подключения со следующими настройками:
    1. Endpoint 1 установлен на 192.168.10.40 через 192.168.10.49 (это будет объект групповой политики, перенесенный на несколько компьютеров)
    2. Endpoint 2 установлен на Any IP address
    3. Протоколы и порты установлены на Any
    4. Требования аутентификации установлены на Request inbound and outbound
    5. Установлен метод аутентификации Advanced с первым методом аутентификации, установленным на Preshared Key
  2. На lanPC выполните такую ​​же настройку:
    1. Устанавливать Endpoint 1 к Any IP address
    2. Устанавливать Endpoint 2 к 192.168.10.40 через 192.168.10.49

Проверка Main Mode и Quick Mode в разделе "Ассоциации безопасности" я вижу, что соединение установлено.

Main Mode:
Local Address    Remote Address    1st Authentication Method    2nd Authentication Method    Encryption    Integrity    Key Exchange
192.168.10.40    192.168.10.10     Preshared key                No authentication            AES-CBC 128   SHA-1        Diffie-Hellman Group 2

Quick Mode:
Local Address    Remote Address    Local Port    Remote Port    Protocol    AH Integrity    ESP Integrity    ESP Encryption
192.168.10.40    192.168.10.10     Any           Any            Any         None            SHA-1            None

Теперь, когда я настраиваю правило брандмауэра, оно ломается.

Я установил правило брандмауэра, чтобы разрешить все порты и все программы, но под Action Я перехожу с Allow the connection к Allow the connection if it is secure затем в разделе "Настроить" я установил его для Allow the connection to use null encapsulation.

Name                                          Group    Profile    Enabled    Action                       Override    Program    Local Address                  Remote Address    Protocol    Local Port    Remote Port    Allowed Users    Allowed Computers    
Allow full access to any computer with PSK             All        No         Secure (No encapsulation)    No          Any        192.168.10.40-192.168.10.49    Any               Any         Any           Any            Any              Any

Когда я включаю этот параметр Я теряю все подключения к 192.168.10.40 который был преобразован маршрутизатором через NAT, мне пришлось подключиться к другому компьютеру в пограничной сети и удаленно оттуда, чтобы отключить правило брандмауэра.

Что мне для этого нужно lanPC.example.com может выполнять удаленное администрирование (без использования RDP) на dmzHost.edgeNetwork.local?