Fitur perutean dan organisasi akses

Jika Anda hanya memerlukan akses ke sumber daya jaringan lokal melalui VPN

Jika Anda perlu mengakses Internet secara langsung melalui penyedia Anda, dan melalui VPN hanya mengakses sumber daya jaringan perusahaan di komputer yang terhubung melalui VPN, Anda harus melakukan pengaturan berikut:

  • Di properti koneksi VPN, hapus tanda Gunakan gateway default di jaringan jarak jauh. Tab Jaringan -> IP versi 4 -> Lanjutan -> Pengaturan IP:

  • Daftarkan rute ke jaringan perusahaan (di Windows 7, 8, 8.1, 10, rute akan dibuat secara otomatis berdasarkan kelas, tergantung pada alamat yang akan diterima koneksi VPN. Misalnya, rute akan menjadi ditambahkan untuk jaringan 10.0.0.0/8 , jika server VPN menerima alamat dari jaringan 10.128.0.0/16). IPsec-IKEv2 dapat dikonfigurasi untuk mendapatkan rute secara otomatis;

Contoh rute, jika jaringan perusahaan adalah 172.16.0.0/16, dan jaringan untuk koneksi VPN dikonfigurasi pada TKMTRM NGFW adalah 10.128.0.0/16 (dan alamat IP untuk koneksi VPN dikeluarkan dari jaringan yang sama ), maka rutenya akan seperti ini: route -p add 172.16.0.0 mask 255.255.0.0 10.128.0.1

  • Dalam beberapa kasus, rute mungkin tidak berfungsi, kemudian ada ping ke antarmuka yang dilindungi (10.128.0.1), tetapi tidak ada ping ke host di jaringan lokal. Dalam hal ini, saat membuat rute, Anda harus menentukan nomor antarmuka koneksi VPN. Rute terakhirnya akan seperti ini:

rute -p tambahkan 172.16.0.0 mask 255.255.0.0 10.128.0.1 jika nn, di mana nn adalah nomor antarmuka koneksi VPN, yang dapat dilihat ketika koneksi VPN aktif di output konsol dari perintah cetak rute di bagian “Daftar Antarmuka”.

Jika Anda tidak dapat mengakses komputer di jaringan lokal TKMTRM NGFW

  • Pastikan jaringan lokal (atau alamat pada kartu jaringan) pada mesin jarak jauh tidak tumpang tindih dengan jaringan lokal organisasi. Jika berpotongan, maka tidak akan ada akses ke jaringan organisasi (lalu lintas menurut tabel perutean akan menuju ke antarmuka fisik, dan bukan ke VPN); Pengalamatan perlu diubah. *Pada komputer jaringan lokal, TKMTRM NGFW harus didaftarkan sebagai gateway utama. Jika tidak demikian, maka Anda perlu mendaftarkan rute yang sesuai secara manual pada perangkat agar paket jaringan masuk ke TKMTRM NGFW untuk jaringan VPN;

    Misalnya: rute -p tambahkan 10.128.0.0 mask 255.255.0.0 10.1.1.1 dimana: 10.128.0.0/16 adalah alamat jaringan VPN TKMTRM NGFW (dikonfigurasi di bagian Pengguna -> koneksi VPN), dan 10.1.1.1 adalah alamat IP antarmuka lokal TKMTRM NGFW .

  • Periksa pengaturan firewall (FORWARD table) di TKMTRM NGFW untuk mengetahui aturan larangan;

  • Komputer dan server yang menjalankan OS Windows dapat membatasi akses ke folder jaringan menggunakan aturan pengaturan profil jaringan (baik di sisi komputer yang terhubung melalui VPN, dan di sisi komputer dan server di jaringan lokal):

Aktifkan akses file dan printer untuk profil Semua Jaringan dan Jaringan Pribadi.

Lakukan ini menggunakan PowerShell (dijalankan dengan hak yang lebih tinggi sebagai administrator) dengan menjalankan perintah: Enable-NetFirewallRule -Group "@FirewallAPI.dll,-28502".

  • Windows Defender Firewall dapat memblokir akses program atau layanan tertentu (termasuk RDP) ke jaringan eksternal;

Periksa ini di pengaturan koneksi masuk dan keluar (akses dari jaringan pribadi dan lokal harus diizinkan):

  • Perangkat lunak anti-virus di komputer Anda mungkin memblokir akses dari jaringan non-lokal. Atau memblokir akses ke program tertentu.

Misalnya, untuk Kaspersky Endpoint Security Anda perlu menambahkan jaringan untuk koneksi VPN (default 10.128.0.0/16) ke pengecualian:

Jika tidak ada akses ke jaringan lokal Cabang

Jika tidak ada akses ke jaringan lokal NGFW lain saat menghubungkan melalui VPN dari NGFW utama (saat menghubungkan antara dua NGFW melalui IPSec):

  • Pastikan jaringan VPN kedua NGFW tidak tumpang tindih;

  • Periksa pengaturan NGFW utama dengan merujuk ke artikel.

Jika ada router di belakang NGFW yang bertindak sebagai inti jaringan lokal

Jika terdapat router antara NGFW dan host di jaringan lokal sebagai inti jaringan, klien dari jaringan VPN tidak akan dapat mengakses host di jaringan lokal ini, meskipun aturan perutean telah dibuat di jaringan. NGFW:

  • 192.168.0.0/24 - jaringan di belakang router yang perlu diakses dari jaringan VPN; *172.16.0.2 - alamat router di jaringan lokal NGFW.

Alasannya adalah host (192.168.0.10) menerima paket dari jaringan VPN dengan alamat sumber src 10.128.0.1. Respons dengan alamat tujuan dst 10.128.0.1 mencapai router, tetapi router tidak memiliki rute ke jaringan yang ditentukan dan lalu lintas tidak melewatinya.

Untuk memastikan akses, Anda perlu mengkonfigurasi rute pada router dari jaringan lokal yang diinginkan ke jaringan VPN. Untuk melakukannya, tentukan jaringan VPN (10.128.0.0\16) sebagai tujuan dan NGFW (172.16.0.1) sebagai gateway.

Jika tidak mungkin mengkonfigurasi rute di router, Anda dapat membuat aturan SNAT seperti ini di NGFW:

Untuk ini:

1. Buka bagian Aturan Lalu Lintas -> Firewall -> SNAT dan klik Tambahkan.

2. Tentukan opsi berikut:

  • Sumber - Jaringan VPN (10.128.0.0\16);

  • Tujuan - jaringan di belakang router yang perlu diakses dari jaringan VPN (192.168.0.0/24).

3. Klik Simpan.

Dalam hal ini, saat mengirimkan paket ke router, NGFW akan mengganti alamat IP sumber dengan miliknya sendiri. Oleh karena itu, router akan meneruskan respons dari host di jaringan lokal ke NGFW, yang kemudian akan mengarahkannya ke jaringan VPN.

Dalam hal ini, host dari jaringan lokal 192.168.0.0/24 tidak akan memiliki akses ke jaringan VPN 10.128.0.0\16.

PreviousKoneksi melalui L2TP/IPsecNextPetunjuk untuk menjalankan skrip PowerShell

Last updated