У нас есть TL-ER6020, который мы настраиваем в режиме «Без NAT» (сторона WAN находится в сети / 30 и маршрутизирует сеть / 29).
Я хочу иметь возможность «удаленного управления» маршрутизатором, но хочу, чтобы он не был доступен через HTTP со стороны WAN.
На Cisco RV042 я настроил все так, чтобы я подключал PPTP к маршрутизатору, а затем мог получить доступ к маршрутизатору через его внутренний IP-адрес. Однако на этом маршрутизаторе был настроен NAT.
Как правильно подойти к этой проблеме?
Из ваших заявлений я понимаю, что как внутренние, так и глобальные сети используют общедоступную IP-адресацию (из-за отсутствия NAT от внутренней к глобальной сети).
Теперь, поскольку вы говорите о внутренней сети как о защищенной сети, я предполагаю, что TL-ER6020 запрещает / блокирует весь трафик из глобальной сети во внутренний и, возможно, разрешает соединения через глобальную сеть, если они инициируются в внутренняя сеть.
Сказав это, вот некоторые обычно используемые подходы:
Обеспечьте безопасное прямое удаленное управление: для этого вам необходимо:
Если вы подключаетесь к удаленному устройству из сети со статическим IP / s, и ваше устройство поддерживает эти функции, это реальное решение. К сожалению, TL-ER6020 не может этого сделать.
Уменьшение поверхности атаки за счет ограничения удаленного подключения только к службе VPN. Стоит отметить, что даже блокировка устройства, за исключением, например, SSH, снижает поверхность атаки. Основные преимущества подхода VPN:
Вернемся к вашей реальной ситуации: учитывая, что вариант 1 кажется вам не подходящим для вашего устройства, вы можете выбрать VPN.
Ссылаясь на «На Cisco RV042, я настроил все так, чтобы я подключил PPTP к маршрутизатору, а затем смог бы получить доступ к маршрутизатору через его внутренний IP-адрес. Однако на этом маршрутизаторе настроен NAT», если предположение о вашей конструкции правильно, вам просто нужно запустить VPN-соединение, а затем получить доступ к внутреннему общедоступному IP-адресу самого маршрутизатора. Другими словами, отсутствие NAT означало бы, что вам нужно иметь дело с реальными (возможно, общедоступными) IP-адресами, которые вы назначили своей внутренней сети.
Если у вас есть доступ к межсетевому экрану внутри маршрутизатора, я бы запретил пакеты HTTP, поступающие из интерфейса WAN.
Если HTTP принимается изнутри, то с vpn это просто вопрос подключения к vpn, а затем к удаленному доступу.