第9讲:通过VPN访问企业网内部服务器设计讨论 网络技术实训 第9讲:通过VPN访问企业网内部服务器设计讨论 许成刚 信息技术学院 2018.10
一、题目描述
通过VPN访问企业网内部服务器 1. 题目描述(1): 利用GNS3和VirtualBox进行设计; 企业网内共有4个部门,每个部门有50左右台电脑接入企业网,企 业网为三层架构; 各部门电脑分别属于不同子网,即不同VLAN; 部门1和部门2之间通过三层交换机RS1通信,部门3和部门4之间 通过三层交换机RS2通信。RS1和RS2通过路由器R4通信。
通过VPN访问企业网内部服务器 1. 题目描述(2): 企业网内部署有Web服务器,通过防火墙与边界路由器R3相连。 企业网内部署有VPN服务器,与边界路由器R3相连。 整个企业网通过边界路由器R3访问外网,其上联路由器是互联网 中的路由器R2。 企业网外部用户(即互联网用户),无法直接访问企业网内部的 Web服务器, 但可以通过路由器R2、R3,访问企业网的VPN服 务器,并通过VPN方式访问Web服务器。
通过VPN访问企业网内部服务器 1. 题目描述(3): 部门1和部门2的用户可以访问Web服务器,但部门3和部门4的用 户不能访问Web服务器。 企业网外部用户(即互联网用户),无法访问企业网内部各部门 的计算机。企业网内部各部门的计算机可以访问外部互联网。 企业网内部各部门的计算机如何获取IP地址,由学生自行设计。 VPN服务器和Web服务器的IP地址,由学生根据题意自行设计。
企业网接入互联网及边界防火墙部署设计 2. 实训要求 根据题目描述,自主设计项目实现方案,项目实现结果需要在实验室内向任课老师进行展示。 完成本实训项目的“《网络技术实训》课程综合实训项目报告”。并打印后提交任课教师。
讨论1 OPNsense的自身特点 LAN口和WAN口的配置特点 OPNsense的路由特性 OPNsense的NAT功能
步骤1: 按下图部署网络,配置IP地址,其他配置默认,测试网络连通性 说明: 172.16.100.1/24 10.0.0.1/24 WAN LAN 172.16.100.2/24 10.0.0.2/24 说明: 1、OPNsense只配置了WAN和LAN端口的地址,其他是默认配置。 2、关闭了PC1和PC2的防火墙
步骤1:OPNsense默认配置分析 1、NAT功能并没有起作用。 没有NAT规则
步骤1:OPNsense默认配置分析 1、NAT功能并没有起作用。 此时,PC2 ping PC1是通,但在PC1上抓包,可以发现从PC2发来的数据包,并没有被NAT,因为源地址是10.0.0.2,而不是WAN口的地址172.16.100.1
2、端口规则设置中,WAN接口默认不允许来自外网私有地址的数 据包通过,LAN接口默认允许来自内网的私有地址的数据包通过。 步骤1:OPNsense默认配置分析 2、端口规则设置中,WAN接口默认不允许来自外网私有地址的数 据包通过,LAN接口默认允许来自内网的私有地址的数据包通过。 LAN接口:此处不打勾,表明LAN口允许从内网私有地址发来的报文通过 WAN接口:此处打勾,表明WAN口不允许从外部私有地址发来的报文通过
步骤1:OPNsense默认配置分析 3、防火墙规则中,WAN接口默认没有配置从外向内的规则,即不允 许从外向内访问;LAN接口默认配置了允许从内网向外网的访问规则。
步骤1:OPNsense默认配置分析 4、接口规则(interfaces)优先于防火墙规则 (rules); 默认配置下,在WAN口增加防火墙规则,此规则会自动置于接口规则(interfaces)之下,且不可改变顺序。因此,若WAN口配置的是私有地址,则即使在WAN口增加防火墙规则,允许any to any,但由于WAN口默认不允许来自外网私有地址的数据包通过,且接口规则优先,因此此时仍然无法实现从外网向内网访问。 LAN口不是这样,因为其接口规则中,默认的是允许内网中从私有地址发来的报文通过。
图1-7-1
图1-7-2 当此处打勾时,如果外部网也用的是私有地址,则阻断从外到内的通信,即使在防火墙模块中,增加了WAN口的策略(rules),允许any to any,依然无法实现外网PC与WAN口的通信。 返回
图1-7-3 即使在防火墙模块中,增加了WAN口的策略(rules),允许any to any,依然无法实现外网PC与WAN口的通信。 返回
步骤1:OPNsense默认配置分析 5、OPNsense内置路由转发; 取消WAN口的端口规则(interfaces)中,关于来源是私有IP地址的相关限制;增加WAN口防火墙规则,允许any to any,如上图。此时: PC1 ping PC2 通 / PC2 ping PC1 通 说明Opnsense内置路由功能,可实现内、外网之间的转发,准确的讲,应该是WAN口和LAN口之间的路由转发,还需要实验证明。
步骤2:默认配置测试连通性 序号 源主机/端口 目的主机/端口 Ping 结果 抓包 抓包位置 通 图1-1 图1-2 图1-3 请求超时 PC2 LAN口 通 图1-1 2 WAN口 图1-2 3 PC1 图1-3 4 请求超时 图1-4 5 图1-5 6 图1-6
步骤1:测试连通性 序号 源主机/端口 目的主机/端口 Ping 结果 分析 通 请求超时 1 PC2 LAN口 2 WAN口 3 PC1 OPNsense只要配置好WAN和LAN端口地址,内置路由转发 4 请求超时 5 OPNsense在默认配置下,不允许从外向内的主动通信,但允许PC2访问PC1时的返回报文。(图1-7) 6
图1-1 返回
图1-2 返回
图1-3 返回
图1-4 返回
图1-5 返回
图1-6 返回
图1-7-1
图1-7-2 当此处打勾时,如果外部网也用的是私有地址,则阻断从外到内的通信,即使在防火墙模块中,增加了WAN口的策略(rules),允许any to any,依然无法实现外网PC与WAN口的通信。 返回
图1-7-3 即使在防火墙模块中,增加了WAN口的策略(rules),允许any to any,依然无法实现外网PC与WAN口的通信。 返回
讨论2 OPNsense的VPN功能 单一OPNsense连接内、外网配置分析
步骤3: 配置好VPN server 和VPN客户端,但是不启用VPN, PC1 ping PC2的抓包 WAN LAN 172.16.100.2/24 10.0.0.2/24
步骤3: 配置好VPN server 和VPN客户端,但是不启用VPN, PC1 ping PC2的抓包 返回
步骤3: 配置好VPN server 和VPN客户端,但是不启用VPN, PC1 ping PC2的抓包 抓包分析
步骤4: 启用VPN, PC1 ping PC2的抓包 抓包分析
讨论3 OPNsense的VPN功能 内、外间过路由器,OPNsense的VPN配置分析 OPNsense仅用一个接口(单臂)
步骤5: 单臂VPN 抓包分析
R1 R2 SW1 SW2 VPN PC2 PC1 f1/0 f1/1 f1/1 f1/0 61.1.1.1 10.0.0.1/24 10.0.0.2/24 192.168.1.1/24 SW1 SW2 PC2 PC1 VPN 61.1.1.10/24 61.1.1.20/24 192.168.1.254/24 192.168.1.10/24
PC1 08-00-27-CE-88-37 PC2 08-00-27-A6-88-89 R1-f1/0 CA-08-04-90-00-1C 端口 MAC地址 PC1 08-00-27-CE-88-37 PC2 08-00-27-A6-88-89 R1-f1/0 CA-08-04-90-00-1C R1-f1/1 CA-08-04-90-00-1D R2-f1/0 CA-09-1D-FC-00-1C R2-f1/1 CA-09-1D-FC-00-1D VPN-LAN 08-00-27-05-27-8E VPN-WAN 08-00-27-58-2D-8A
OPNsense设置:VPN PPTP server
OPNsense设置:VPN PPTP server
OPNsense设置:VPN PPTP server
OPNsense设置:VPN PPTP server
OPNsense设置:Firewall Rules—— WAN接口
OPNsense设置:Firewall Rules—— LAN接口
OPNsense设置:Firewall Rules—— PPTP VPN
OPNsense设置:接口设置(Interfaces)—— WAN接口设置
OPNsense设置:System-Routing—— 设置网关 Gateways 由于VPN客户端是通过路由访问到VPN服务器的,所以必须在OPNsense中设置回指路由。
OPNsense设置:System-Routing—— 设置路由 Routes 由于VPN客户端是通过路由访问到VPN服务器的,所以必须在OPNsense中设置回指路由。
讨论4 OPNsense的VPN功能 内、外间过路由器,OPNsense的VPN配置分析 OPNsense仅用一个接口(单臂)
步骤6: 单臂VPN and 不同网段 抓包分析
步骤6: 单臂VPN and 不同网段 ③ ① ② 10.0.0.1/24 10.0.0.2/24 172.16.100.1/24 61.1.1.1/24 192.168.1.1/24 172.16.100.10/24 ① ② 192.168.1.10/24 配置VPN VPN 61.1.1.20/24 192.168.1.254/24
步骤6: 单臂VPN and 不同网段 10.0.0.1/24 172.16.100.1/24 10.0.0.2/24 61.1.1.1/24 192.168.1.1/24 172.16.100.10/24 192.168.1.10/24 配置VPN VPN 61.1.1.20/24 192.168.1.254/24
步骤6: 单臂VPN and 不同网段
步骤6: R1的配置 单臂VPN and 不同网段 R1中需要配置到达172.16.100.0/24网段的路由吗? 10.0.0.1/24 172.16.100.1/24 10.0.0.2/24 61.1.1.1/24 192.168.1.1/24 172.16.100.10/24 192.168.1.10/24 配置VPN R1的配置 VPN 61.1.1.20/24 192.168.1.254/24
步骤6: R2的配置 单臂VPN and 不同网段 172.16.100.1/24 10.0.0.1/24 10.0.0.2/24 61.1.1.1/24 192.168.1.1/24 172.16.100.10/24 192.168.1.10/24 配置VPN R2的配置 VPN 61.1.1.20/24 192.168.1.254/24
思考: VPN服务器在给客户端分配IP地址时,是分配192.168.1.0/24的地址,还是分配172.16.100.0/24的地址? 192.168.1.200 ? 172.16.100.200 ?
步骤6: 单臂VPN and 不同网段 OPNsense设置:VPN PPTP server
步骤6: 单臂VPN and 不同网段 OPNsense设置:VPN PPTP server
步骤6: 单臂VPN and 不同网段 VPN服务器在给客户机分配IP地址时,分配172.16.100.0/24的地址
讨论5 实训2中,外网中的网络拓扑如何设计? 外网的IP地址如何设计?私有IP?共有IP地址? 外网中的用户如何访问到企业网的边界路由器R3? 外网中的路由器的路由表如何设计?
讨论6 实训2中,内网中的部门网络拓扑如何设计? 部门网络的路由器,其路由表如何设计? 部门网络如何接入互联网?NAT?路由? 思考前期的实训内容
讨论7 实训2中,内网中Web服务器所在网络拓扑如何设计? 防火墙的WAN口和LAN口如何设计? Web服务器所在网络的IP地址如何设计
讨论8 实训2中,内网中VPN服务器所在网络拓扑如何设计? VPN(OPNsense)的接口如何设置? VPN所在网络的IP地址如何设计?
讨论9 实训2中,整个企业网的网络拓扑如何设计? 企业网的边界路由器的路由表如何设计?
讨论10 实训2中,不启用VPN时: 企业网内部的通信情况分析 互联网用户访问企业网内部设备的情况分析
讨论11 实训2中,启用VPN时: 企业网内部的通信情况分析 互联网用户访问企业网内部设备的情况分析
讨论12 实训2中,测试方案的分析 NAT效果分析 防火墙效果分析 VPN效果分析
Thank