VPN経由でのみRDPを許可する
通常ではなく、VPN接続を介してのみ3389ポート(RDP)を許可したい。これどうやってするの?
MikrotikでVPNサーバーを構成しました。 httpとhttpsを除くすべてのトラフィックをファイアウォールフィルターでブロックしました。フィルタルールによって3389を許可しましたが、現在、VPNに関係なくイントラネットシステムに対してRDPを実行できる他のシステム(ネットワーク外)が許可されています。つまり、ラップトップ(ネットワーク外のクライアント)はVPNクライアントの有無にかかわらずRDPを実行できます。クライアントがMikrotikのVPNサーバーに接続してから、イントラネットシステムにRDPを実行する必要があります。そうでない場合は、切断します。
RDP over VPN以外の他のRDP接続をブロックするにはどうすればよいですか?
Right Now:
-------- pptp tunnel ------------ ----------
| | ============ | | | |
|laptop | -------------- | Mikrotik |-------| system A |
| | ============ | | | |
| | -------------- | router |-------| |
-------- | | ----------
------------
I want :
-------- pptp tunnel ------------ ----------
| | ============ | | | |
|laptop | -------------- | Mikrotik |-------| system A |
| | ============ | | | |
| | | router | | |
-------- | | ----------
------------
基本的に行ったことは、VPNのセットアップです[〜#〜] and [〜#〜]ファイアウォールを介したRDPアクセスのセットアップ(ポート3389を世界に開放)。
VPNユーザーに制限する場合は、ファイアウォールを介したRDPアクセスを許可しないでください。 RDPに対してそのルールを完全に無効にします。
次に...ユーザーは、設定したVPNトンネルを使用してVPNを実行し、[〜#〜] then [〜#〜] rdpを「システムA」に接続します。 VPNは、それらを「システムA」のローカルネットワークに配置し、サーバーへのアクセスを許可します。
VPNサーバー/セットアップをまだセットアップしていない場合(質問ではわかりません)、それを構成して機能していることを確認する必要があります。
これは、VPN上でのみrdpを許可し、他のすべての接続をブロックするために追加する必要があるルールです。
add chain=forward action=accept protocol=tcp dst-port 3389 in-interface=VPN comment="Allow RDP via VPN"