¿Puede un sitio en una VPN LAN a LAN estar completamente aislado del otro?

2

En una configuración de VPN LAN a LAN, ¿es posible aislar un sitio de otro?

Sé que podemos usar un firewall pero eso nos obligaría a administrar reglas específicas en el firewall. Me gustaría reducir la carga de trabajo de gestión. ¿Crees que un firewall sería la mejor solución?

Creemos que una VPN de LAN a LAN es la mejor solución, pero tal vez no. La necesidad es conectarse a un servidor IaaS en la nube a través de Internet, pero:

  • Queremos que la comunicación se cifre siempre, probablemente utilizando protocolos no cifrados
  • Queremos que algunos servicios en el servidor sean disponible solo para nuestros IP

En otras palabras, no queremos que la LAN remota tenga acceso completo a la LAN local ... la configuración que buscamos es similar a la navegación a Internet: las máquinas locales salen a Internet utilizando la misma IP pública y desde Internet no es posible iniciar una conexión a una máquina interna porque tienen direcciones IP locales que no son direccionables desde Internet. De esta manera, las máquinas locales están aisladas de Internet porque el NAT y no los puertos reenviados.

    
pregunta Eloy Roldán Paredes 06.11.2015 - 10:41
fuente

1 respuesta

2

Una conexión VPN de LAN a LAN es solo un puente entre dos redes remotas. Puedes considerarlo como un cable.

Además de ese cable, los enrutadores VPN generalmente proporcionan una puerta de enlace a la otra red. Sin esta puerta de enlace, el tráfico no podría ir, ya que los paquetes de una red no sabrían cómo llegar a la otra red. Se refleja en las tablas de enrutamiento de los dispositivos en cada una de las redes.

Entonces, básicamente, ahora tienes una extensión abierta de una red en la otra. Cada dispositivo en una red puede llegar a cada dispositivo en la otra.

Pero esto no es lo que querías, querías restringir este tráfico. Por lo tanto, debe tener algún tipo de filtro que permita algunos paquetes y no otros, según algunas reglas. Esto lo puede hacer un firewall o puede verificar si su puerta de enlace VPN no proporciona dicha funcionalidad (busque "firewall" o "ACL" en la documentación).

Puede dar forma al tráfico de la forma que desee, incluyendo NAT (en ambos lados, si es necesario, para reproducir el escenario de Internet que menciona).

El punto clave aquí es que la configuración de VPN no ofrece (en su uso principal) nada más que una capa de comunicación segura entre dos redes.

    
respondido por el WoJ 06.11.2015 - 14:17
fuente

Lea otras preguntas en las etiquetas