Tenho tentado configurar o Gateway do GP para restringir a conexão VPN com base no IP de origem do computador do usuário. Quero que apenas alguns endereços IP de origem (sub-rede privada) tenham acesso ao serviço VPN. Tentei várias opções, como critérios de seleção de configuração em GP Gateway → Agente → Configurações do cliente. Qualquer sugestão será bem-vinda.
Minhas percepções estão coçando, pois você pode estar abordando errado para alcançar o que precisa. Posso estar enganado.
Se você só quer que as pessoas se conectem de determinados IPs de origem, então por que não bloqueá-los por meio de regras de firewall? Basta adicionar regras de permissão para os intervalos de IP que deseja e depois bloquear o resto.
Perfis HIP são outra alternativa. Eles não bloqueiam com base no IP, mas você pode usar ID de host ou nome do host do Windows. Para ser honesto, a política de segurança é muito mais fácil; o resto é trabalho extra para você.
Não faça isso. Não apenas não funcionará, mas basear decisões no IP de um dispositivo por trás de um NAT que você não controla é uma má ideia.
Só uma rápida informação… A captura de tela que você incluiu só aplicará configurações com base em critérios definidos, não filtrará o acesso como você gostaria.
Quanto à sua pergunta:
Lendo algumas das outras respostas, parece que você está tentando definir o acesso com base em uma sub-rede remota. Como a sub-rede distante está sendo NATed na saída (para a internet), a única coisa com que você poderá trabalhar do seu lado é o IP NAT público. Dependendo de vários fatores (por exemplo: se a rede distante o está alugando explicitamente, se eles têm DHCP lease, etc.), você pode estar enfrentando vários problemas adicionais ou complicações de segurança indo por esse caminho… Então, tome cuidado.
Tentar filtrar IPs privados de uma rede externa quando seu usuário tenta se conectar ao seu GW remoto é como dizer que não permito que usuários se conectem quando estão dentro da cozinha de qualquer casa. Isso simplesmente não faz sentido. Melhor descrever o problema que você está enfrentando para ver como resolvê-lo.
Se entendi bem o que você tenta fazer:
Você quer que os usuários se conectem apenas de sua rede privada, não de um IP público atribuído ao computador?
- 4G usa NAT do portador, então o dispositivo tem um endereço em RFC1918. O mesmo para a ponte Wi-Fi 4G usada no laptop.
- não é assim que você faz segurança. Se você quer apenas pessoas confiáveis, use grupos AD/LDAP e autenticação, OTP, certificado da máquina, certificado do usuário. A maioria dos computadores tem um endereço local em RFC1918. Sua restrição nunca será aplicada.
- da última vez que vi um computador com IP público, foi nos anos 2000, quando os laptops tinham modems integrados que você tinha que conectar a uma linha telefônica para obter conexão discada, fornecendo uma conexão de 56k.
- se você ainda quer seguir esse caminho, o que é uma bobagem, pode ser possível com uma verificação personalizada em hip, depois usar objeto HIP e perfis na política. O usuário poderá se conectar de qualquer lugar, mas será permitido passar pelo firewall somente se essa verificação personalizada for validada.
Obrigado. É aí que procuro ajuda. Como posso permitir que apenas clientes VPN conectados de 172.16.0.0 /24 (IP privado) ao Servidor VPN Público (90.20.x.x) tenham acesso ao serviço VPN? Algumas dicas?
Obrigado pela resposta. O problema é que o firewall está sendo usado por muitos outros serviços e perfis diferentes, portanto não posso modificar a regra do firewall. Não há opção de controlar isso dentro das configurações do gateway?
Obrigado kbetsis pela sua resposta. Estava testando um cenário típico: quando o usuário está em casa, pode usar a internet normalmente, mas no escritório quero que eles usem VPN de forma forçada, de modo que aconteça sem intervenção do usuário. Portanto, procurava ideias para reforçar isso. Posso configurar um gateway interno com detecção de informações do usuário, mas no momento não tenho a opção de servidor interno. Me avise se tiver alguma ideia.
Obrigado Aguillo pela sua resposta detalhada e explicação. Concordo totalmente com seu conselho e solução. Estava testando um cenário típico: quando o usuário está em casa, pode usar a internet normalmente, mas no escritório quero que eles usem VPN forçadamente, de modo que aconteça de forma transparente, sem intervenção do usuário. Portanto, procurava ideias para reforçar isso. Posso configurar um gateway interno com detecção de informações do usuário, mas neste momento não tenho a opção de servidor interno.
Seu firewall não verá esse IP privado a menos que haja alguma infraestrutura estranha em jogo. Você verá o que quer que seja público pelo qual eles passem.
Crie uma política de segurança com uma origem de 172.16.0.0/24 e um destino de 90.20.x.x. Permita os aplicativos ipsec e panos-global-protect. Crie uma regra abaixo disso com qualquer origem e mesmo destino, mas defina para negar.
É uma bobagem. O princípio de confiança zero é impor a segurança quando estiver em casa igual ao escritório. Você está tentando fazer o oposto.
No entanto, há uma solução com gateway e portal. Você não configura o gateway externo, mas um gateway interno. Assim, quando estiver do lado de fora, eles irão contatar o portal e não receberão um gateway externo, mas uma conexão interna, e se estiverem conectados internamente, receberão um gateway interno para se conectar.
Funciona se eu adicionar uma política de segurança com a origem como IP público NATed de 172.16.x.x. Isso significa que preciso permitir toda a sub-rede atrás desse IP NAT, e não tenho controle sobre isso.
u/Aguilo_Security isso está correto. Precisa criar outro gateway para usuários internos. Se os usuários em casa se conectarem ao portal.exemplo.com e gateway.exemplo.com, você precisa ter essas mesmas entradas DNS internamente apontando para o IP do gateway interno, que pode ser um endereço de loopback no PA. Você cria políticas para esse gateway interno separadas do gateway externo.
Não há como você ver qual é o IP de origem privado de um destino porque ele está atrás de NAT.
Ah, você está tentando permitir VPN apenas de uma sub-rede interna de alguma outra rede? Se estiver atrás do NAT deles, seu firewall não verá isso.
Acho que seria melhor usar outros critérios para verificar o cliente, não consideraria o IP de origem local como método de autenticação válido. Lembre-se: qualquer pessoa em qualquer lugar pode usar essa rede 172. Por que não usar outros critérios, como autenticação de usuário, MFA, certificado de máquina, verificação hip e diversas opções disponíveis para verificar que este computador é aquele que você deseja conectar.
Sem necessidade disso. Para o caso de uso (que ainda não entendo lol), na configuração do portal do cliente, ele pode definir o gateway interno e nenhum gateway externo. Funciona.