Tenho tentado configurar o gateway GP para restringir a conexão VPN com base no IP de origem do computador do usuário. Quero que apenas determinados endereços IP de origem (sub-rede privada) tenham acesso ao serviço VPN. Experimentei várias opções, como critérios de seleção de configuração em Gateway GP → Agente → Configurações do cliente. Alguma sugestão seria apreciada.
Minhas suspeitas estão a aumentar, acho que você pode estar com a abordagem errada para alcançar o que precisa. Posso estar errado.
Se você só quer que pessoas se conectem de certos IPs de origem, por que não bloquear isso via regras de firewall? Basta adicionar regras de permissão para os intervalos de IP desejados e depois bloquear o resto.
Perfis HIP são outra alternativa. Eles não bloqueiam com base no IP, mas você pode usar o ID do host ou o nome do host do Windows. Para ser honesto, a política de segurança é muito mais fácil, o resto é trabalho extra para você.
Não faça isso. Além de não funcionar, fazer decisões com base no IP de um dispositivo por trás de um NAT que você não controla é uma péssima ideia.
Só uma informação rápida… A captura de tela que você enviou só se aplica às configurações com base em critérios definidos, não irá filtrar o acesso como você gostaria.
Quanto à sua dúvida:
Lendo algumas das outras respostas, parece que você está tentando definir o acesso com base na sub-rede remota. Como a sub-rede no destino está sendo NATeada na saída (para a internet), tudo o que você poderá usar do seu lado é esse IP NAT público. Dependendo de vários fatores (por exemplo: se a NAT está sendo explicitamente leasing, se é DHCP, etc.), você pode estar convidando a várias questões adicionais ou complicações de segurança ao seguir esse caminho… Então, tome cuidado.
Tentar filtrar IPs privados de uma rede externa quando seu usuário tenta se conectar ao seu gateway remoto é como dizer que não permite que usuários se conectem quando estão na cozinha de qualquer casa. Isso simplesmente não faz sentido. Melhor descreva o problema que você está enfrentando para ver como resolvê-lo.
Se eu entendi bem o que você quer fazer:
Você deseja que os usuários se conectem apenas de sua rede privada, não do IP público atribuído ao computador?
- 4G usa NAT de operadora, então o dispositivo tem um endereço RFC1918. O mesmo vale para o link Wi-Fi 4G usado no laptop.
- Não é assim que você faz segurança. Se quiser apenas pessoas confiáveis, use grupos AD/LDAP, autenticação, OTP, certificado de máquina, certificado de usuário. A maioria dos computadores tem um endereço local em RFC1918. Sua restrição nunca será aplicada.
- A última vez que vi um computador com IP público foi no início dos anos 2000, quando os laptops tinham modems integrados que você tinha que conectar a uma linha telefônica para discar, oferecendo uma conexão de 56k.
- Se ainda quiser seguir esse caminho, o que é um absurdo, pode ser possível com verificação personalizada no hip, usando objetos e perfis de hip na política. O usuário poderá se conectar de qualquer lugar, mas só permitirá passar pelo firewall se essa verificação personalizada for validada.