Download presentation
Presentation is loading. Please wait.
1
第9讲:通过VPN访问企业网内部服务器设计讨论
网络技术实训 第9讲:通过VPN访问企业网内部服务器设计讨论 许成刚 信息技术学院
2
一、题目描述
3
通过VPN访问企业网内部服务器 1. 题目描述(1): 利用GNS3和VirtualBox进行设计;
企业网内共有4个部门,每个部门有50左右台电脑接入企业网,企 业网为三层架构; 各部门电脑分别属于不同子网,即不同VLAN; 部门1和部门2之间通过三层交换机RS1通信,部门3和部门4之间 通过三层交换机RS2通信。RS1和RS2通过路由器R4通信。
4
通过VPN访问企业网内部服务器 1. 题目描述(2): 企业网内部署有Web服务器,通过防火墙与边界路由器R3相连。
企业网内部署有VPN服务器,与边界路由器R3相连。 整个企业网通过边界路由器R3访问外网,其上联路由器是互联网 中的路由器R2。 企业网外部用户(即互联网用户),无法直接访问企业网内部的 Web服务器, 但可以通过路由器R2、R3,访问企业网的VPN服 务器,并通过VPN方式访问Web服务器。
5
通过VPN访问企业网内部服务器 1. 题目描述(3):
部门1和部门2的用户可以访问Web服务器,但部门3和部门4的用 户不能访问Web服务器。 企业网外部用户(即互联网用户),无法访问企业网内部各部门 的计算机。企业网内部各部门的计算机可以访问外部互联网。 企业网内部各部门的计算机如何获取IP地址,由学生自行设计。 VPN服务器和Web服务器的IP地址,由学生根据题意自行设计。
6
企业网接入互联网及边界防火墙部署设计 2. 实训要求 根据题目描述,自主设计项目实现方案,项目实现结果需要在实验室内向任课老师进行展示。
完成本实训项目的“《网络技术实训》课程综合实训项目报告”。并打印后提交任课教师。
7
讨论1 OPNsense的自身特点 LAN口和WAN口的配置特点 OPNsense的路由特性 OPNsense的NAT功能
8
步骤1: 按下图部署网络,配置IP地址,其他配置默认,测试网络连通性 说明:
/24 /24 WAN LAN /24 /24 说明: 1、OPNsense只配置了WAN和LAN端口的地址,其他是默认配置。 2、关闭了PC1和PC2的防火墙
9
步骤1:OPNsense默认配置分析 1、NAT功能并没有起作用。 没有NAT规则
10
步骤1:OPNsense默认配置分析 1、NAT功能并没有起作用。 此时,PC2 ping PC1是通,但在PC1上抓包,可以发现从PC2发来的数据包,并没有被NAT,因为源地址是 ,而不是WAN口的地址
11
2、端口规则设置中,WAN接口默认不允许来自外网私有地址的数 据包通过,LAN接口默认允许来自内网的私有地址的数据包通过。
步骤1:OPNsense默认配置分析 2、端口规则设置中,WAN接口默认不允许来自外网私有地址的数 据包通过,LAN接口默认允许来自内网的私有地址的数据包通过。 LAN接口:此处不打勾,表明LAN口允许从内网私有地址发来的报文通过 WAN接口:此处打勾,表明WAN口不允许从外部私有地址发来的报文通过
12
步骤1:OPNsense默认配置分析 3、防火墙规则中,WAN接口默认没有配置从外向内的规则,即不允 许从外向内访问;LAN接口默认配置了允许从内网向外网的访问规则。
13
步骤1:OPNsense默认配置分析 4、接口规则(interfaces)优先于防火墙规则 (rules);
默认配置下,在WAN口增加防火墙规则,此规则会自动置于接口规则(interfaces)之下,且不可改变顺序。因此,若WAN口配置的是私有地址,则即使在WAN口增加防火墙规则,允许any to any,但由于WAN口默认不允许来自外网私有地址的数据包通过,且接口规则优先,因此此时仍然无法实现从外网向内网访问。 LAN口不是这样,因为其接口规则中,默认的是允许内网中从私有地址发来的报文通过。
14
图1-7-1
15
图1-7-2 当此处打勾时,如果外部网也用的是私有地址,则阻断从外到内的通信,即使在防火墙模块中,增加了WAN口的策略(rules),允许any to any,依然无法实现外网PC与WAN口的通信。 返回
16
图1-7-3 即使在防火墙模块中,增加了WAN口的策略(rules),允许any to any,依然无法实现外网PC与WAN口的通信。 返回
17
步骤1:OPNsense默认配置分析 5、OPNsense内置路由转发;
取消WAN口的端口规则(interfaces)中,关于来源是私有IP地址的相关限制;增加WAN口防火墙规则,允许any to any,如上图。此时: PC1 ping PC2 通 / PC2 ping PC1 通 说明Opnsense内置路由功能,可实现内、外网之间的转发,准确的讲,应该是WAN口和LAN口之间的路由转发,还需要实验证明。
18
步骤2:默认配置测试连通性 序号 源主机/端口 目的主机/端口 Ping 结果 抓包 抓包位置 通 图1-1 图1-2 图1-3 请求超时
PC2 LAN口 通 图1-1 2 WAN口 图1-2 3 PC1 图1-3 4 请求超时 图1-4 5 图1-5 6 图1-6
19
步骤1:测试连通性 序号 源主机/端口 目的主机/端口 Ping 结果 分析 通 请求超时 1 PC2 LAN口 2 WAN口 3 PC1
OPNsense只要配置好WAN和LAN端口地址,内置路由转发 4 请求超时 5 OPNsense在默认配置下,不允许从外向内的主动通信,但允许PC2访问PC1时的返回报文。(图1-7) 6
20
图1-1 返回
21
图1-2 返回
22
图1-3 返回
23
图1-4 返回
24
图1-5 返回
25
图1-6 返回
26
图1-7-1
27
图1-7-2 当此处打勾时,如果外部网也用的是私有地址,则阻断从外到内的通信,即使在防火墙模块中,增加了WAN口的策略(rules),允许any to any,依然无法实现外网PC与WAN口的通信。 返回
28
图1-7-3 即使在防火墙模块中,增加了WAN口的策略(rules),允许any to any,依然无法实现外网PC与WAN口的通信。 返回
29
讨论2 OPNsense的VPN功能 单一OPNsense连接内、外网配置分析
30
步骤3: 配置好VPN server 和VPN客户端,但是不启用VPN, PC1 ping PC2的抓包 WAN LAN
/24 /24
31
步骤3: 配置好VPN server 和VPN客户端,但是不启用VPN, PC1 ping PC2的抓包 返回
32
步骤3: 配置好VPN server 和VPN客户端,但是不启用VPN, PC1 ping PC2的抓包 抓包分析
33
步骤4: 启用VPN, PC1 ping PC2的抓包 抓包分析
34
讨论3 OPNsense的VPN功能 内、外间过路由器,OPNsense的VPN配置分析 OPNsense仅用一个接口(单臂)
35
步骤5: 单臂VPN 抓包分析
36
R1 R2 SW1 SW2 VPN PC2 PC1 f1/0 f1/1 f1/1 f1/0 61.1.1.1 10.0.0.1/24
/24 /24 SW1 SW2 PC2 PC1 VPN /24 /24 /24 /24
37
PC1 08-00-27-CE-88-37 PC2 08-00-27-A6-88-89 R1-f1/0 CA-08-04-90-00-1C
端口 MAC地址 PC1 CE-88-37 PC2 A R1-f1/0 CA C R1-f1/1 CA D R2-f1/0 CA-09-1D-FC-00-1C R2-f1/1 CA-09-1D-FC-00-1D VPN-LAN E VPN-WAN D-8A
38
OPNsense设置:VPN PPTP server
39
OPNsense设置:VPN PPTP server
40
OPNsense设置:VPN PPTP server
41
OPNsense设置:VPN PPTP server
42
OPNsense设置:Firewall Rules—— WAN接口
43
OPNsense设置:Firewall Rules—— LAN接口
44
OPNsense设置:Firewall Rules—— PPTP VPN
45
OPNsense设置:接口设置(Interfaces)—— WAN接口设置
46
OPNsense设置:System-Routing—— 设置网关 Gateways
由于VPN客户端是通过路由访问到VPN服务器的,所以必须在OPNsense中设置回指路由。
47
OPNsense设置:System-Routing—— 设置路由 Routes
由于VPN客户端是通过路由访问到VPN服务器的,所以必须在OPNsense中设置回指路由。
48
讨论4 OPNsense的VPN功能 内、外间过路由器,OPNsense的VPN配置分析 OPNsense仅用一个接口(单臂)
49
步骤6: 单臂VPN and 不同网段 抓包分析
50
步骤6: 单臂VPN and 不同网段 ③ ① ② 10.0.0.1/24 10.0.0.2/24 172.16.100.1/24
/24 /24 /24 ① ② /24 配置VPN VPN /24 /24
51
步骤6: 单臂VPN and 不同网段 /24 /24 /24 /24 /24 /24 /24 配置VPN VPN /24 /24
52
步骤6: 单臂VPN and 不同网段
53
步骤6: R1的配置 单臂VPN and 不同网段 R1中需要配置到达172.16.100.0/24网段的路由吗?
/24 /24 /24 /24 /24 /24 /24 配置VPN R1的配置 VPN /24 /24
54
步骤6: R2的配置 单臂VPN and 不同网段 172.16.100.1/24 10.0.0.1/24 10.0.0.2/24
/24 /24 /24 /24 配置VPN R2的配置 VPN /24 /24
55
思考: VPN服务器在给客户端分配IP地址时,是分配192.168.1.0/24的地址,还是分配172.16.100.0/24的地址?
? ?
56
步骤6: 单臂VPN and 不同网段 OPNsense设置:VPN PPTP server
57
步骤6: 单臂VPN and 不同网段 OPNsense设置:VPN PPTP server
58
步骤6: 单臂VPN and 不同网段 VPN服务器在给客户机分配IP地址时,分配 /24的地址
59
讨论5 实训2中,外网中的网络拓扑如何设计? 外网的IP地址如何设计?私有IP?共有IP地址?
外网中的用户如何访问到企业网的边界路由器R3? 外网中的路由器的路由表如何设计?
60
讨论6 实训2中,内网中的部门网络拓扑如何设计? 部门网络的路由器,其路由表如何设计? 部门网络如何接入互联网?NAT?路由?
思考前期的实训内容
61
讨论7 实训2中,内网中Web服务器所在网络拓扑如何设计? 防火墙的WAN口和LAN口如何设计? Web服务器所在网络的IP地址如何设计
62
讨论8 实训2中,内网中VPN服务器所在网络拓扑如何设计? VPN(OPNsense)的接口如何设置? VPN所在网络的IP地址如何设计?
63
讨论9 实训2中,整个企业网的网络拓扑如何设计? 企业网的边界路由器的路由表如何设计?
64
讨论10 实训2中,不启用VPN时: 企业网内部的通信情况分析 互联网用户访问企业网内部设备的情况分析
65
讨论11 实训2中,启用VPN时: 企业网内部的通信情况分析 互联网用户访问企业网内部设备的情况分析
66
讨论12 实训2中,测试方案的分析 NAT效果分析 防火墙效果分析 VPN效果分析
67
Thank
Similar presentations