我们有一个TL-ER6020,我们正在build立一个“非NAT”模式(WAN端在一个/ 30networking,并路由一个/ 29networking)。
我希望能够“远程pipe理”路由器,但要防止它从WAN端通过HTTP访问。
在思科的RV042上,我configuration了一些东西,这样我就可以将PPTP插入路由器,然后通过内部IP访问路由器。 但是,这台路由器configuration了NAT。
解决这个问题的正确方法是什么?
如果您有权访问路由器内的防火墙,则会拒绝来自WAN接口的HTTP数据包。
如果HTTP从内部被接受,那么使用vpn,这只是连接到vpn,然后连接到远程访问的问题。
从你的陈述我的理解是内部和广域网使用公共IP寻址(因为从内部到广域网没有NAT)。
现在,因为你说的内部networking是一个安全的networking,我假设TL-ER6020拒绝或阻止所有的stream量从广域网到内部,也许它允许通过广域网连接,如果他们发起内部networking。
话虽如此,这些是一些常用的方法:
安全地启用直接远程pipe理:要有效地做到这一点,您应该:
如果从具有静态IP / s的networking连接到远程设备,并且设备支持这些function,则这是一个可行的解决scheme。 不幸的是,TL-ER6020似乎无法做到这一点。
攻击面减less仅通过限制到VPN服务的远程连接。 值得注意的是,即使是除SSH以外的设备locking,也减less了攻击面。 VPN方法的主要优点是:
回到现实世界的情况,鉴于选项1似乎不适合您的设备,您可能会去一个VPN。
参考“在思科RV042上,我已经configuration了一些东西,使我可以将PPTP插入路由器,然后通过其内部IP访问路由器,但是,此路由器configuration了NAT”,如果假设您的devise是正确的,你只需要启动VPN连接,然后访问路由器本身的内部公共IP。 换句话说,没有NAT就意味着你必须处理你分配给你的内部networking的真实(可能是公共的)IP。