Se você tiver acesso ao firewall dentro do roteador, negarei pacotes HTTP provenientes da interface WAN.
Se o HTTP é aceito de dentro, então com a vpn é apenas uma questão de se conectar ao vpn e depois ao acesso remoto.
Temos um TL-ER6020 que estamos configurando em um modo "Non NAT" (o lado da WAN está em uma rede / 30 e roteia uma rede / 29).
Eu quero ser capaz de "Gerenciar remotamente" o roteador, mas quero evitar que ele seja acessível via HTTP do lado da WAN.
Em um Cisco RV042, eu tinha configurado as coisas para que eu colocasse o PPTP no roteador e, em seguida, fosse capaz de acessar o roteador através do seu IP interno. No entanto, esse roteador tinha configurado NAT.
Qual é o caminho certo para abordar esse problema?
Se você tiver acesso ao firewall dentro do roteador, negarei pacotes HTTP provenientes da interface WAN.
Se o HTTP é aceito de dentro, então com a vpn é apenas uma questão de se conectar ao vpn e depois ao acesso remoto.
A partir de suas declarações, meu entendimento é que tanto as redes internas quanto as redes WAN usam o endereçamento IP público (por causa do não NAT de interno para WAN).
Agora, porque você está falando sobre a rede interna como uma rede segura, estou assumindo que o TL-ER6020 está negando / bloqueando todo o tráfego da WAN para o interno, e talvez permita conexões através da WAN se elas re iniciado na rede interna.
Dito isto, estas são algumas abordagens geralmente usadas:
Ative o gerenciamento remoto direto com segurança: para fazer isso de forma eficaz, você deve:
Se você se conectar ao dispositivo remoto a partir de uma rede com IP / s estático e o dispositivo oferecer suporte a esses recursos, essa é uma solução viável. Infelizmente, o TL-ER6020 parece não ser capaz de fazê-lo.
Redução de superfície de ataque, limitando a conectividade remota somente ao serviço VPN. Vale notar que até mesmo o bloqueio do dispositivo, com exceção do SSH, por exemplo, reduz a superfície de ataque. As principais vantagens da abordagem VPN são:
De volta à sua situação no mundo real, já que a opção 1 parece inadequada para o seu dispositivo, você pode optar por uma VPN.
Referindo-se a: "Em um Cisco RV042, eu configurei as coisas para que eu colocasse o PPTP no roteador e pudesse acessar o roteador através do seu IP interno. No entanto, esse roteador tinha o NAT configurado", se a suposição sobre seu design está correto, você só precisa iniciar a conexão VPN e acessar o IP público interno do próprio roteador. Em outras palavras, a ausência de NAT significaria apenas que você precisa lidar com os IPs reais (provavelmente públicos) atribuídos à sua rede interna.